黑客定位先定位后付款-有对方银行卡号能追回钱吗-CmsEasy前台无限制GetShell

在补丁网页页面http://www.cmseasy.cn/patch/show_1116.html免费下载补丁CmsEasy_for_Uploads_20161012.zip

改动的文档很少，根据diff发觉补丁中lib/default/tool_act.php *** 黑客精准定位先精准定位后支付 392行的cut_image_action()涵数被注解了。

讨论一下这一涵数

1

2

3

4

5

6

7

8

9

10

11

12

13

*** 黑客精准定位先精准定位后支付 14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

*** 黑客精准定位先精准定位后支付 29

看储存文件夹名称的形成

1

$new_name=$new_name_gbk=str_replace('.','',Time::getMicrotime()).'.'.end(explode('.',$_POST['pic']));

立即用了$_POST['pic']的后缀名作为新文档的后缀名，应当便是这儿造成 的getshell。

但是这儿运用必须一点 ***  

1、照片会历经php的图象库解决，怎样在解决后依然保存shell句子

2、远程控制上传图片必须根据file_exists函数的认证(要了解http(s)针对file_exists而言会固定不动回到false)

在正常图片中 *** shell并忽视图象库的解决 *** 黑客精准定位先精准定位后支付 这一freebuf有详细介绍 海外也是有许多剖析，自然立即拿freebuf的方式应该是失败的 必须一点小小调节

有关file_exits()涵数 ftp://协议书就可以绕开 wrappers中有详细介绍

1

$len = 1;

5.0.0之上 就适用file_ *** 黑客精准定位先精准定位后支付exists()了

这儿结构payload也有一点必须留意的

1

2

3

4

5

6

7

8

9

if(config::get('base_url') != '/'){

*** 黑客精准定位先精准定位后支付     $len = strlen(config::get('base_url')) 1;

}

if(substr($_POST['pic'],0,4) == 'http'){

    front::$post['thumb'] =

    str_ireplace(config::get('site_url'),'',$_POST['pic']);

}else{

    front::$post['thumb'] = substr($_POST['pic'],$len);

}

如果$_POST['pic']开头4个字符不是http的话，就认为是本站的文件，会从前面抽取掉baseurl（等于返回文件相对路径）。

所以构造的时候 如果站点不是放在根目录 则需要在前面补位strlen(base_url)+2 如果放在根目录 也需要补上1位（'/'的长度）。

POC