新年禮包第一彈(metinfo后臺getshell)

開場都是為了烘托氣氛,一句話:新年到,燥起來,煎餅會有的,肉也會有的。

漏洞文件:

/admin/app/physical/physical.php

文內中有文件操作函數file_put_contents,但通過文中可以看見如果要操作這個函數那得控制result這個變量,先跟進curl_post

關聯文件:/include/export.func.php

看內容一看就知道是一個post請求的curl,metinfo是一個具有偽全局的cms,結合前文和后文發現met_host是可控的,met_file因為前面有賦值所以不可控

本地復現:

先在遠程服務器上創建一個文件standard.php

內容如下:

然后請求

成功寫入

【VIA@91ri-team 小續Joseph】