关于简单的php源代码泄露漏洞的发掘

在ASP的世界里，我们深知SQL注入的威力，但当我们来到PHP的世界，情况却有所不同。当magic_quotes_gpc为on时，特殊字符会被转义，这使得SQL注入有时难以利用。PHP强大的文件操作能力却为我们带来了全新的体验，让人心跳加速。这次我要分享的是phpcms2007源代码泄露的漏洞。

我要向Phpcms2007的开源精神致敬！你们的贡献为整个开源社区增添了光彩。接下来，让我们开始这个有趣的漏洞。

在源代码中，我使用findstr命令搜索了所有的PHP文件，找到了一个名为readfilec.php的文件。在这个文件中，有一个名为readfile($file)的函数被调用。于是，我开始深入研究这个函数所在的模块——module\picture\show_picc.php。这个文件比较小，但蕴含着巨大的潜力。

代码定义了一个IN_PHPCMS常量，用于检查访问权限。如果未定义该常量或者来源URL不正确，将会跳转到错误图片。接着，代码通过readfile函数读取文件内容并输出。它没有检查$src变量的文件类型，这意味着如果我们提交一个src=.php也会被readfile读取。这就出现了漏洞。虽然这个漏洞存在，但由于defined(’IN_PHPCMS’)的存在，我们无法直接利用这个漏洞文件。我们可以在其他包含这个文件的PHP文件中利用这个漏洞。

我继续搜索，找到了另一个相关的文件——show_picc.php。如果register_globals为on的话，我们可以直接利用这个文件读取目标文件。于是，我开始测试这个猜想。通过构造特定的URL，我们可以访问到网站的配置文件。

官方演示站点的URL是

phpcms2007的这个漏洞让我们能够利用PHP的文件操作功能来读取目标文件。虽然存在一些限制和防护措施，但只要我们足够聪明和勇敢，就能找到绕过这些措施的方法。这次分享的内容就到这里，希望它能激发你们对PHP安全领域的兴趣。网络安全：一次简单的抓包之旅

让我们开始这次冒险之旅，访问：[