Pw6的一个url转跳[BUG?] \hack.php的Codz: require_once('global.php'); $H_name = GetGP('H_name'); //相当于 　 　 安全中国首页 > 文章中心 > Phpwind文章 　 加入安全中国终身VIP会员待遇： 永久学习已开设的所有培训班课程和以后新开培训班课程 赠送7位无密码保护ＱＱ 赠送终身VIP会员独享光盘工具包一份 为终身VIP会员推荐安排工作就业 安全中国网友投稿专用上传FTP空间： Ftp服务器：www.anqn.com Ftp端口：21 用户名：anqn 密 码：anqn.com 　 Phpwind6的一个url转跳Bug发现 安全中国 www.anqn.com 更新时间:2007-9-28 9:03:43 责任编辑:流火 热 点： $Content$ ·上一篇: Phpwind论坛img图像跨站发贴(图) ·下一篇: Phpwind论坛的一个放后门的方式 　 相关文章 ·原创:Phpwind6.0图片跨站漏洞测试 一日一文章 　 一日一软件 一日一动画 　 GET[H_name] if(ereg("^http",$H_name)!==false){ ObHeader("$H_name"); //如果是http就通过ObHeader转跳 } elseif(!$db_hackdb[$H_name] || !is_dir(R_P."hack/$H_name") || !file_exists(R_P."hack/$H_name/index.php")){ //如果可以过上面这个判断就可以用下面的define定义H_P了,可惜!$db_hackdb[$H_name]这个过不去 :( Showmsg("hack_error"); } define('H_P',R_P."hack/$H_name/"); 我们看看ObHeader()在global.php里: function ObHeader($URL){ global $db_obstart,$db_bbsurl,$db_htmifopen; if($db_htmifopen && strtolower(substr($URL,0,4))!='http'){ $URL="$db_bbsurl/$URL"; } ob_end_clean(); if($db_obstart){//可惜phpwind不让全局变量了[见我上个blog],要不就可以进header() header("Location: $URL");exit; } else{ ob_start(); echo "<meta http-equiv='refresh' content='0;url=$URL'>";exit;//这里访问了我们的url } } POC: http://www.phpwind.net/hack.php?H_name=http://www.google.com