经过楼主的测试,可以通杀2.0——2.8版本。

未经同意,禁止转载。

程序名称:ThinkSNS
影响版本: 2.0——2.8
漏洞类型: 后台拿shell
漏洞位置: 全局-附件设置
版本确定: 1./install/install.php
2./ Readme.txt
漏洞描述:
通过后台修改扩展名,可以上传php文件
利用代码和过程 后台-全局-附件设置-扩展名限定增加php;jpg,php;.jpg-站点配置-上传Logo