测试环境:kali、vulhub
漏洞复现
正常上传PHP文件是不允许的,我们可以上传一个shell.shtml文件:
<!--#exec cmd="ls" -->上传,然后访问shell.shtml,可见命令已成功执行:
对文件的审核不够,这种文件不能上传?或者上传之后要对文件进行编码?
测试环境:kali、vulhub
正常上传PHP文件是不允许的,我们可以上传一个shell.shtml文件:
<!--#exec cmd="ls" -->上传,然后访问shell.shtml,可见命令已成功执行:
对文件的审核不够,这种文件不能上传?或者上传之后要对文件进行编码?