VULHUB ™

### 简要描述： csrf+lfi拿下shell ### 详细说明： 1.这里直接进数据库了，没有判断路径是否跳出了templete目录的问题 [<img src="https://images.seebug.org/upload/201310/23133731b1adce9a401bbd5973a7ad2046d8e4c4.jpg" alt="yl0.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/23133731b1adce9a401bbd5973a7ad2046d8e4c4.jpg) 2.然后利用这一点，我们可以构造如下页面，诱惑管理员访问： [<img src="https://images.seebug.org/upload/201310/231339457fddf3421fa74256e7571d447bbec7de.jpg" alt="ly0.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/231339457fddf3421fa74256e7571d447bbec7de.jpg) 3.官方演示站，我们可以直接用测试帐号登录，然后点击这个页面 当然也可以手动去后台添加 （官方下载的5.5版本，安装好之后自动带有两个自定义表单，无需管理员手动添加，我就利用了其中一个）： [<img src="https://images.seebug.org/upload/201310/2313411130d98792bec3de35ed711434da86ac90.jpg" alt="0.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/2313411130d98792bec3de35ed711434da86ac90.jpg) [<img...

### 简要描述： csrf+lfi拿下shell ### 详细说明： 1.这里直接进数据库了，没有判断路径是否跳出了templete目录的问题 [<img src="https://images.seebug.org/upload/201310/23133731b1adce9a401bbd5973a7ad2046d8e4c4.jpg" alt="yl0.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/23133731b1adce9a401bbd5973a7ad2046d8e4c4.jpg) 2.然后利用这一点，我们可以构造如下页面，诱惑管理员访问： [<img src="https://images.seebug.org/upload/201310/231339457fddf3421fa74256e7571d447bbec7de.jpg" alt="ly0.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/231339457fddf3421fa74256e7571d447bbec7de.jpg) 3.官方演示站，我们可以直接用测试帐号登录，然后点击这个页面 当然也可以手动去后台添加 （官方下载的5.5版本，安装好之后自动带有两个自定义表单，无需管理员手动添加，我就利用了其中一个）： [<img src="https://images.seebug.org/upload/201310/2313411130d98792bec3de35ed711434da86ac90.jpg" alt="0.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/2313411130d98792bec3de35ed711434da86ac90.jpg) [<img src="https://images.seebug.org/upload/201310/231349123ad227858f3b093f902543cfa63ad6e4.jpg" alt="1.1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/231349123ad227858f3b093f902543cfa63ad6e4.jpg) 4.其数据包如下： [<img src="https://images.seebug.org/upload/201310/23134317f03dd6bb4c3f613f91dd452f97789d14.jpg" alt="ly1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/23134317f03dd6bb4c3f613f91dd452f97789d14.jpg) 5.提交后访问如下页面即可获得shell（无需登陆） test1站的shell [<img src="https://images.seebug.org/upload/201310/231344335354aff73e1214676d0652c5d55eb2d2.jpg" alt="5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/231344335354aff73e1214676d0652c5d55eb2d2.jpg) 6.网站装了安全狗，但是狗不拦图片的包含执行，导致可以得到shell, test2站的shell [<img src="https://images.seebug.org/upload/201310/2313451763d6a863c66b864612e88f0dbf294b7a.jpg" alt="7.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/2313451763d6a863c66b864612e88f0dbf294b7a.jpg) ### 漏洞证明： [<img src="https://images.seebug.org/upload/201310/2313451763d6a863c66b864612e88f0dbf294b7a.jpg" alt="7.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/2313451763d6a863c66b864612e88f0dbf294b7a.jpg)