此站随时失效请牢记导航网址:xnzyzh.com

FastAdmin最新后台getshell漏洞,建议立刻修复

作者:admin 新闻资讯

FastAdmin是一款基于ThinkPHP5+Bootstrap的快速后台开发框架,基于Auth验证的权限管理系统,并且具有强大的一键生成功能,在前端也有强大的组件支持,是目前ThinkPHP排名非常靠前的开发框架之一。


最值得推荐的是FastAdmin后台中的插件管理系统,非常多的PHP大牛将一些好用的功能插件打包上传之后提供给使用者直接下载安装,免去了二次功能开发的周期长、效率低的尴尬。



使用过该框架的小伙伴都知道,这些在线插件的安装必须要使用大陆的服务器,如果是香港或是国外服务器IP都不能够在线安装,所以框架就提供了离线安装功能,可以先从官方网站下载插件,然后进入后台之后离线上传安装。

本次漏洞就是出现在插件管理系统的离线上传功能,如果将webshell插入正常的插件压缩包中上传解压安装,就成功的获取到了webshell


离线安装


SHELL会生成在 /assets/addons/插件名/shell.php


webshell隐藏于插件中



上传后POST数据包:


数据包


希望FastAdmin官方尽快对该漏洞进行修复。


Keywor

免责声明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络收集整理,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序和内容,请支持正版,购买注册,得到更好的正版服务。我们非常重视版权问题,如有侵权请邮件与我们联系处理。敬请谅解!

  • /
  • -->