{}
然后进入一个if分支语句,当IS_AJAX_POST时,则执行相关的写入文件的代码,否则则跳过写入文件,显示Cron的添加页面,随即结束add()函数,IS_AJAX_POST定义为当收到post...config/cron.php'文件,可控的写入点位于字符串$json的赋值中,且在两个'的包裹中,此处是漏洞产生的主要原因,未对用户的输入做足够的判断或清洗即写入相应的文件
在/Admin.php?...>的文件的php语句
注意下述操作需要先获取csrf_test_name,获取方法:
1.访问http://host:port/Admin.php?...,总之要看响应包内的路径,把响应包内最后的.zip换成/webshell.php即可
版本v4.5.5和版本v4.5.6(目前最新版)
相比版本v4.5.4,这两个版本增加了对压缩包内文件的检测,但是此处我们先不尝试绕过相应的检测...,而是尝试另一个更为简单的方法
这两个版本未对压缩包内的文件夹进行递归检测,因此只要把恶意文件放在文件夹内再压缩然后上传即可
相比版本v4.5.4,在上传该zip压缩文件时依旧可以通过抓包获取文件的物理路径