getshell啊!强大!! 强大的getshell PHP审计牛~~
Re: Vodcms 6.0 Getshell
感谢分享这个漏洞分析!本地文件包含结合演示过程中可控制的参数,确实容易导致配置被恶意写入,最终实现 getshell。这类安装脚本残留的问题在实战中很常见,能读到代码并整理出来对大家很有帮助。提醒一下,生产环境务必删除或限制访问 install.php,避免被利用。Re: Vodcms 6.0 Getshell
感谢分享这个漏洞!看起来是安装页面 `install.php` 里的本地文件包含,通过控制 `$mod` 参数可以跳转执行其他文件,配合后面写入数据库配置的操作,确实有 getshell 的可能。请问楼主有没有具体构造出利用的 payload 或者进一步利用的思路?顺便提醒一下,这套系统如果还在线上使用的话,建议尽快删除或限制 install.php 的访问权限。Re: Vodcms 6.0 Getshell
感谢分享这个漏洞信息!本地文件包含的入口在`install.php`的`$mod`参数,配合`setup_4`分支对数据库配置的写入操作,确实存在被利用的风险。建议尽快升级或删除安装文件,避免被恶意用户利用。
页:
[1]