### 简要描述:
非模板,非sql!!!!!!!
### 详细说明:
后台可以编辑语言项,并且语言项中有部分是双引号,所以可以通过
```
{${phpinfo()}}
```
这种格式直接执行php代码,getshell!!(这里为了方便演示,使用phpinfo,实际情况可以换成一句话)
[<img src="https://images.seebug.org/upload/201305/30170005fe9a271b198a22cf4fe2d343c762e194.jpg" alt="ww001.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/30170005fe9a271b198a22cf4fe2d343c762e194.jpg)
语言文件有双引号
[<img src="https://images.seebug.org/upload/201305/301700308e6a04ea43eb2703692e40b0a0aeffbd.jpg" alt="ww02.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/301700308e6a04ea43eb2703692e40b0a0aeffbd.jpg)
后台可以编辑语言文件,插入特殊格式php代码。
[<img src="https://images.seebug.org/upload/201305/3017010250a12d1a1dc3a23480b7d6b390b9648c.jpg" alt="ww03.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/3017010250a12d1a1dc3a23480b7d6b390b9648c.jpg)
此处编辑的是“gzip已禁用”这段文字,所以几乎所有页面都有php代码,首页都有了。
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201305/301702043fbee5d1da6d26ae122eee7a2fedb9c6.jpg" alt="ww03.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/301702043fbee5d1da6d26ae122eee7a2fedb9c6.jpg)
京ICP备10040895号
暂无评论