PHPOK 4.8.338 后台任意文件上传漏洞(CVE-2018-12941)复现
PHPOK企业站(简称PHPOK)建设系统是一套基于PHP和MySQL构建的高效企业网站建设方案之一,全面针对企业网(以展示为中心)进行合理的设计规划。
PHPOK是一套开源免费的建站系统,可以在遵守LGPL协议的基础上免费使用。系统具备多种特性及功能,能绝大多数满足用户需求。
1.环境
phpok 4.8.338
phpstudy
2.搭建phpok网站
3.复现
登录后台
点击工具中附件分类管理
随便一个中编辑加入php后缀
提交后,点击咨询中心,添加行业新闻
在选择图片中把后门文件3.php上传,之后点击预览,访问3.php文件的地址
3.php <?php phpinfo()?>
成功执行后门文件
修复:
过滤后缀
升级版本