### 简要描述:
M老师指哪个cms,我就打哪个cms~真是幸福~~
无需登录,无需权限,直接getshell。
### 详细说明:
上传位置在plugins/phpdisk_client/client_sub.php
首先验证user-agent,然后从解密字符串里拿到了一个用户名和密码:
```
None
```
选择shell上传,中途抓包。
改user-agent为“phpdisk-client”,不改不能上传。
发送。
返回包是这样的:
[<img src="https://images.seebug.org/upload/201406/021437485a115ed93cc1df24fbbb447678084fba.jpg" alt="17.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/021437485a115ed93cc1df24fbbb447678084fba.jpg)
这个时候查看/system/cache/即可看到shell:
[<img src="https://images.seebug.org/upload/201406/02143941eb78ddb3bcc9f6cb20ea2738c63fe0bb.jpg" alt="18.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/02143941eb78ddb3bcc9f6cb20ea2738c63fe0bb.jpg)
官网demo站shell已拿下:
http://demo.phpdisk.com/v/system/cache/info.php
ps.我看到有前辈的phpinfo了,呵呵。。。前辈们果然都手握0day
暂无评论