Fastadmin前台Getshell漏洞復現

2022-07-03 17:54:11 字數 716 閱讀 9422

一、簡介

fastadmin是一款基於thinkphp5+bootstrap開發的極速後台開發框架。fastadmin基於apache2.0開源協議發布,目前被廣泛應用於各大行業應用後台管理。

二、漏洞復現

注:在linux下,通過這種方法會失效,因為在 /public 路徑下不存在 user 目錄

1、登入前台會員中心,註冊乙個賬戶

2、使用註冊的賬戶登入,點選會員中心"-》"個人資料"處,上傳乙個jpg馬

3、構造poc,get /index/user/_empty?name=../../public/uploads/路徑.jpg,訪問

Fastadmin前台Getshell漏洞分析

fastadmin是一款基於thinkphp5 bootstrap開發的極速後台開發框架。fastadmin基於apache2.0開源協議發布,目前被廣泛應用於各大行業應用後台管理。影響版本 v1.0.0.20180911 beta v1.0.0.20200506 beta 這裡使用使用 v1.0....

FastAdmin 目錄分類

project 應用部署目錄 admin command 新增控制台命令 controller lang zh cn 控制器對應語言包,按需載入 general index.php page.php zh cn.php 後台語言包,預設載入 library auth.php 後台許可權驗證類 tra...

FastAdmin使用建議

1.規劃好資料表 直接用命令建立後台管理選單 生成fa test表的crud php think crud t test 生成fa test表的crud且一鍵生成選單 php think crud t test u 1 刪除fa test表生成的crud php think crud t test ...