俗话说得好，思路才是最重要，本文章主要提供思路，各位师傅在挖掘漏洞的时候说不定也能碰到类似的点

1.思路：

当我们在找可以构建csrf的时候，多找找可以提交上传图片的，部分是可以自由构建url如图：

漏洞位置：

反馈位置构造csrf

既然能任意构建url，并没有校验防御

开始找后台漏洞点

添加管理员处抓包

展开全文

添加管理员转get试下，看能不能成功添加

发现可行，我们返回反馈列表抓包构建下poc：

这里的话先构造一个添加管理员的，&符号需要编码下

然后返回后台看看反馈列表

这里的话只需要管理员点开触发即可

点击之后Img src会加载get请求

成功添加管理员

Poc:

添加管理员

修改认证码

/admin.php/setting/save?admin_code=admin

当然没rce是没有灵魂的

在采集管理，下载资源会压缩保存

因为if会判断执行无法用|那么就用;，因为;在shell中，担任连续指令，从左到右执行，当执行到错误的命令会停止

可以看到我这里的分别执行了ls和ping命令

演示：

ls;ping

ls;dir;ping;i

复现成功

RCE 就不公布了，涉及到很多站点

征集原创技术文章中，欢迎投递

投稿邮箱： edu@antvsion.com

文章类型：黑客极客技术、信息安全、热点安全研究分析等安全相关

通过审核并发布能收获200-800不等的稿酬

更多详情介绍，点我查看

靶场实操，戳“阅读原文“

扫码加微信详细咨询太和智慧养老产品和平台服务！