蚂蚁分类getshell

/member/include/inc_shop.php

前面的ac不用管就是if判断然后进入操作而已。我们主要看template这里,获取$name_file的上传内容然后传入start_upload,这里说一下传参中可控的有$oldbanner

看下函数内容

看这里

先是获取了文件内容然后获取了文件后缀以及文件名这些

这里的edit与edit_pre讲道理的是非空所以进入了该if进行后缀以及路径拼接(期间并无任何效验)

下面接着判断了是否存在相同名如果不存在同名则直接上传。

本地复现:

Old我们指定的文件名

可以指定文件名0.0自然就能任意路径了。。。。

http://127.0.0.1/member/index.php?m=shop&type=corp&ac=template

不过印象中我并不记得蚂蚁分类会存在这个漏洞啊!!抱着各种心情多看一下

随便看一个

发现除了我们那个每个上面都会有一个check_upimage的调用 看看怎么回事

原来是这里在验证后缀是否允许而并不是集成在上传函数中验证的。

完。

【via@Joseph-91RI-team