phpok csrf成功getshell(二)

### 简要描述： 前台注册一个帐号，上传zip文件，csrf后台升级（升级文件为上传的zip）,成功getshell 对升级文件没进行校验。 ### 详细说明： 版本：4.2.100 前台能上传zip文件，而且对升级文件没进行校验。 上传zip演示： 先把我们的木马文件test.php添加到压缩包内test.zip 注册一个帐号-修改资料. 选择一个正常图片，截获数据 [<img src="https://images.seebug.org/upload/201501/14164838641a2ed93e6900d6b0681fe24733d51f.png" alt="QQ截图20150114164820.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/14164838641a2ed93e6900d6b0681fe24733d51f.png) [<img src="https://images.seebug.org/upload/201501/14165022d98b1524a1731cb2063b14fb906e5657.png" alt="QQ截图20150114165013.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/14165022d98b1524a1731cb2063b14fb906e5657.png) 然后修改数据。 [<img src="https://images.seebug.org/upload/201501/14165145e00cbb43e7eccd651eef38d116c05363.png" alt="QQ截图20150114165135.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/14165145e00cbb43e7eccd651eef38d116c05363.png) 成功上传zip文件。记录下文件id号。我们这里是739 在 程序升级 » ZIP离线包升级 中的升级操作没有进行Referer验证。导致csrf产生 ``` None ``` 管理员只要访问我们事先准备好的poc。 就能getshell test.php躺在根目录那里。 ### 漏洞证明： 访问poc文件 [<img src="https://images.seebug.org/upload/201501/1417011815c4c64730ce3cd023c612f63917cb02.png" alt="232.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/1417011815c4c64730ce3cd023c612f63917cb02.png) [<img src="https://images.seebug.org/upload/201501/141701570a5b352e35493a617b1ca91133c48052.png" alt="111.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/141701570a5b352e35493a617b1ca91133c48052.png)