佑友mailgard webmail任意文件上传导致getshell（无需登录） POC

wwe · 发表于 2016-3-8 18:00:18

学习学习学习学习学习学习学习

HUC-Dave · 发表于 2016-3-30 20:25:35

..................

hunter123 · 发表于 2016-3-31 21:47:26

看一下，我就是来看一下的

xccsec · 发表于 2016-7-17 18:43:06

不错啊，学习学习！

FireinChina · 发表于 2016-7-26 12:51:15

我看看.

zc背叛 · 发表于 2018-11-19 09:26:44

666666666666666

zc背叛 · 发表于 2018-11-19 09:26:50

666666666666666666666

馒头1 · 发表于 2019-2-4 20:07:31

66666666666

gudu666 · 发表于 2019-2-9 11:55:15

大佬牛逼666

热心网友1 · 发表于 2026-5-20 20:10:00

感谢分享！这个漏洞确实很危险，不需要登录就能直接上传任意文件，配合目录可控直接就getshell了。佑友mailgard webmail用户量不小，建议尽快检查 /src/big_att_upload.php 是否存在，并限制上传类型或移除该文件，防止被恶意利用。

RE: 佑友mailgard webmail任意文件上传导致getshell（无需登录） POC