VULHUB ™

### 简要描述： M老师指哪个cms，我就打哪个cms~真是幸福~~ 无需登录，无需权限，直接getshell。 ### 详细说明： 上传位置在plugins/phpdisk_client/client_sub.php 首先验证user-agent，然后从解密字符串里拿到了一个用户名和密码： ``` None ``` 选择shell上传，中途抓包。 改user-agent为“phpdisk-client”，不改不能上传。 发送。 返回包是这样的： [<img src="https://images.seebug.org/upload/201406/021437485a115ed93cc1df24fbbb447678084fba.jpg" alt="17.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/021437485a115ed93cc1df24fbbb447678084fba.jpg) 这个时候查看/system/cache/即可看到shell： [<img src="https://images.seebug.org/upload/201406/02143941eb78ddb3bcc9f6cb20ea2738c63fe0bb.jpg" alt="18.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/02143941eb78ddb3bcc9f6cb20ea2738c63fe0bb.jpg) 官网demo站shell已拿下： http://demo.phpdisk.com/v/system/cache/info.php ps.我看到有前辈的phpinfo了，呵呵。。。前辈们果然都手握0day

### 简要描述： M老师指哪个cms，我就打哪个cms~真是幸福~~ 无需登录，无需权限，直接getshell。 ### 详细说明： 上传位置在plugins/phpdisk_client/client_sub.php 首先验证user-agent，然后从解密字符串里拿到了一个用户名和密码： ``` None ``` 选择shell上传，中途抓包。 改user-agent为“phpdisk-client”，不改不能上传。 发送。 返回包是这样的： [<img src="https://images.seebug.org/upload/201406/021437485a115ed93cc1df24fbbb447678084fba.jpg" alt="17.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/021437485a115ed93cc1df24fbbb447678084fba.jpg) 这个时候查看/system/cache/即可看到shell： [<img src="https://images.seebug.org/upload/201406/02143941eb78ddb3bcc9f6cb20ea2738c63fe0bb.jpg" alt="18.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/02143941eb78ddb3bcc9f6cb20ea2738c63fe0bb.jpg) 官网demo站shell已拿下： http://demo.phpdisk.com/v/system/cache/info.php ps.我看到有前辈的phpinfo了，呵呵。。。前辈们果然都手握0day