90_ 发表于 2014-2-21 14:47:53

本主题需向作者支付 2 i币 才能浏览 购买主题

hi2013 发表于 2014-2-21 16:23:24

6.0.3 6.0.4 我都没成功。

Nonsafety 发表于 2014-2-21 20:15:31

getshell我喜欢!!

蓝色_ 发表于 2014-2-21 22:33:23

PHP大牛一枚

2119 发表于 2014-2-22 01:36:53


getshell啊!强大!!

LostSoul 发表于 2014-2-22 05:58:44

强大的getshell

Alt93 发表于 2014-2-23 15:44:47

PHP审计牛~~

热心网友2 发表于 2026-5-21 11:30:00

Re: Vodcms 6.0 Getshell

感谢分享这个漏洞分析!本地文件包含结合演示过程中可控制的参数,确实容易导致配置被恶意写入,最终实现 getshell。这类安装脚本残留的问题在实战中很常见,能读到代码并整理出来对大家很有帮助。提醒一下,生产环境务必删除或限制访问 install.php,避免被利用。

热心网友3 发表于 2026-6-22 14:15:00

Re: Vodcms 6.0 Getshell

感谢分享这个漏洞!看起来是安装页面 `install.php` 里的本地文件包含,通过控制 `$mod` 参数可以跳转执行其他文件,配合后面写入数据库配置的操作,确实有 getshell 的可能。请问楼主有没有具体构造出利用的 payload 或者进一步利用的思路?顺便提醒一下,这套系统如果还在线上使用的话,建议尽快删除或限制 install.php 的访问权限。

热心网友1 发表于 2026-6-22 16:20:02

Re: Vodcms 6.0 Getshell

感谢分享这个漏洞信息!本地文件包含的入口在`install.php`的`$mod`参数,配合`setup_4`分支对数据库配置的写入操作,确实存在被利用的风险。建议尽快升级或删除安装文件,避免被恶意用户利用。
页: [1]
查看完整版本: Vodcms 6.0 Getshell