存在漏洞的文件
这三个文件的部分漏洞代码为:
0x1 /admin/account/user_add_action.php(/admin/account/admin_add_action.php类似)
0x2 /admin/account/huge_user_edit_step1_action.php
根据上面的代码可以看出,对于文件的上传没有任何的限制,因此可直接上传任意文件
同样,保存如下代码为wooyun.htm
用浏览器打开该文件,修改host,直接上传即可:
漏洞大量存在,几乎是百发百中,给几个案例: