作者:hackdn

转载注明

zend编码解密的不完整,也懒得看代码了,用Tamper之类的插件测试的POST参数,反正就是$sFile = $oFile['name'];的过滤太傻瓜了,貌似 第5版本之后就修改了函数了。。这次是会员发站内短信上传附件的漏洞,问题出在pms.php上,具体代码分析懒得啰嗦了,POC就不放了,都懂的。

直接说方法:

1: register.php注册账号

2:打开pms.php?action=send&mytype=1

3:到 后面写你自己注册的会员账号,WIN APACHE+IIS传.php;php文件,LINUX传.php5;php,打钩"保存到发件箱中   [完成后可按 Ctrl+Enter 发布]" 点确定

clip_image001

5:完成后会自动跳到发件箱,或者自己进,查看刚才的消息,点附件下载,会提示找不到文件,右键复制网址,后面加上;php就是完整的SHELL地址了

clip_image002

之前看过5.0漏洞也是出在上传上面,放出的POC太罗嗦了,不知道我这个pms.php会不会在其他版本上通杀利用,有空谁研究下告诉我吧

源链接

Hacking more

...