简要描述:
该漏洞可以在后台直接执行任意PHP脚本文件,可以直接获取webshell,拿到整个服务器权限。sn 详细说明:
首先 在 http://shop.fenxiaowang.com/ 免费注册一个账号,获得试用后台地址 然后:登陆试用后台-> 页面管理->模板编辑 然后:构造url :index.php#ctl=system/template&act=editor&p[0]=b2b_dgfc&p[1]=xxx.php 通过查看 模板图片即可知道模板路径 ,然后执行你构造的网马 即可获得webshell
漏洞 证明:
修复方案:
过滤不严格。需对编辑页面增加 PHP 等文件编辑禁止
查看更多关于shopex易分销系统存在geshell漏洞及修复 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did11528