WooYun.org

这是两个小问题组合产生的问题。
1、前台图片文件上传。
在bagecms中，所有的controller都继承自Controller，而这个Controller有一个actionUpload，负责文件上传，由于是所有controller的基类，所以在前台controller也可以直接上传文件。
虽然上传限制了文件类型，但是，重点不在这。

2、上传文件的原始名称未过滤入库。
上传文件的原始文件名作为real_name存入数据库，并在后台附件管理部分显示出来。
只要在修改原始文件名为payload就可以了。
原来想的是改文件名，其实是看了 @Evi1m0 在kcon的PPT，这PPT给了我很大启发：https://github.com/knownsec/KCon/blob/master/KCon%20V3/%E5%8E%BB%E5%B9%B4%E8%B7%A8%E8%BF%87%E7%9A%84%E5%AE%A2%E6%88%B7%E7%AB%AF.pptx
确实很猥琐，也很有效。
但其实没有那么复杂，因为是http协议，与ppt中的场景不一样，这里很简单直接截包修改即可。

表单的action是post/upload，其实任意前台controller/upload都可以上传成功。
同时由于这个位置长度有255，可以随意发挥。
后台浏览附件列表时候即触发XSS。

附官网演示：