问题仍然出现在头像上传处。 finecms头像上传代码沿用的phpcms,多的不说,直接看代码吧。 /member/controllers/Account.php 第412行:
/** * 上传头像处理 * 传入头像压缩包,解压到指定文件夹后删除非图片文件 */ public function upload() { if (!isset($GLOBALS['HTTP_RAW_POST_DATA'])) { exit('环境不支持'); } $dir = FCPATH.'member/uploadfile/member/'.$this->uid.'/'; // 创建图片存储文件夹 if (!file_exists($dir)) { mkdir($dir, 0777, true); } $filename = $dir.'avatar.zip'; // 存储flashpost图片 file_put_contents($filename, $GLOBALS['HTTP_RAW_POST_DATA']); // 解压缩文件 $this->load->library('Pclzip'); $this->pclzip->PclFile($filename); if ($this->pclzip->extract(PCLZIP_OPT_PATH, $dir, PCLZIP_OPT_REPLACE_NEWER) == 0) { exit($this->pclzip->zip(true)); }
看到倒数第3行,这是解压的操作。熟悉phpcms那个洞的同学应该知道,上传头像的时候先是本地flash对头像进行处理、压缩以后上传,后端进行解压。解压以后删除所有非法文件。 如代码所示,解压如果遇到错误的话,就exit。 所以,如果我们构造一个压缩包,让解压发生错误,但其中的部分内容又能够解压出来,就能exit出这个程序,就不会删除非法文件,我们的shell就能留下来。 思路就这样,利用方法及demo证明见下方。 首先构造压缩包。 准备7个php文件,直接打包: |
-
上一篇: 万户OA某处无限制sql注入 - 网站安全 - 自学php
下一篇: finecms 最新版v2.3.3前台getshell - 网站安全 - 自学
还没有人抢沙发呢~