很简单的小漏洞，很早就发现了，5月初丢t00ls核心了，又两个多月过去了，咋就没人公布呢。。。算了，最近没啥文章，把这个发上来凑凑数。

看代码的时候是sp3、sp4都存在问题，不过刚刚下了一份最新的sp4版本，已经修复此问题了！

又是未初始化，又是全局...国内的程序很多就是模拟全局，于是带来问题...想当初那个dz不也是么...还有很多php程序这样...对于程序员来说也许方便，但安全...漏洞文件是：fckeditor/data.php ，由于$where_time没初始化，所以可以直接union select 读想要读取的数据~先看看问题代码：

...
switch($action)
{
case '':
if($data == '') exit;
if(CHARSET != 'utf-8') $data = iconv('utf-8', CHARSET, $data);
$db->query("INSERT INTO ".DB_PRE."editor_data SET userid='$_userid', editorid='$editorid', ip='".IP."', created_time='".TIME....

还是前段时间看dede代码的时候看到的，虽然很鸡肋，但也有点用，于是拖着没发；很无语的发现在t00ls被公布了，于是我稍微说一下之类本地包含漏洞的利用方法。

一、漏洞介绍
Dedecms V5.6 Final版本中的plus/carbuyaction.php文件中当dopost为return时，$code变量没有初始化，直接被带入了require once 语句中，由于后面限制了.php，从而只能导致本地包含漏洞。

二、漏洞细节
1、 plus/carbuyaction.php文件：

//漏洞出现下$dopost 为return的时候，$code变量没有被赋值，由于dedecms的全局机制可以任意给其赋值，从而带入包含，导致本地包含漏洞。

2、 include/common.inc.php：

----------------------------------------------------------------------------

# oldjun注：帮朋友打下广告，希望大家不要介意。。。

庞大的脚本安全字典，《黑客脚本全本》隆重上市 （Tommie等编著），本人感觉，这本书非常非常适合初学者入门，如果有新手有志学习脚本，成为脚本黑客，建议买本学习学习！

官方链接：：http://bbs.nohack.cn/thread-114886-1-1.html

淘宝预定地址：点击这里

黑客手册在线商城购买地址：

今天5.16日，大好日子，Friddy牛新婚大喜，发个鸡肋0day庆祝下。晚上Sec@NJ的兄弟们再聚首参加friddy同学的婚礼，flashsky与alert7等前辈悉数到场，比较开心，喝了不少酒，希望大家以后多多聚会、交流:-(

好了，这个小漏洞很鸡肋，去年除夕回家的火车上随便看代码看到的，因为是后台本地包含，一般用处不大，因为后台已经能够拿shell了，但对于极少数全站封死写权限的站点，还是小有点用处的~

很简单的本地包含，稍微看下源码：

最近接触了好多欧美日韩台数据库的数据搬运工，很多目标站想拿下来很难很难，不过大家看中的只是数据而非webshell，webshell只是为了搬运数据方便一点。于是试问下，只存在注入时，您还在一条条搬么？

一、MSSQL获取数据：

用的比较多的就是for xml raw了，MSSQL2000都支持的！

注入中显示数据的两个办法均可以使用，一是union select、二是显错，以MSSQL2005为例：

select username from members where 1=2 union select top 3 username from members for xml raw
返回（如果username重复，自动去除重复值）：

select username from members where 1=(select top 3 username from members for xml raw)
返回：