phpok通杀前台getshell 4.0.515官方demo测试成功

文章目录

漏洞作者: 索马里的海贼

简要描述:

无任何限制,不用注册账号,不用csrf,不用注入。一个请求直接getshell。
不得不说phpok的输入处理做的还是不错的。。。不过这里就出了一个问题

详细说明:

/framework/www/ueditor_control.php行61

remote_image_f函数没对远程文件后缀做检查直接保存到本地

这个真心没什么好分析的我就不贴代码分析了

漏洞证明:

构造请求

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录