78778443 / QingScan

一个漏洞扫描器粘合剂,添加目标后30款工具自动调用;支持 web扫描、系统扫描、子域名收集、目录扫描、主机扫描、主机发现、组件识别、URL爬虫、XRAY扫描、AWVS自动扫描、POC批量验证,SSH批量测试、vulmap。
1.76k stars 288 forks source link

后台RCE漏洞 #1

Closed mux1ng closed 2 years ago

mux1ng commented 2 years ago

漏洞文件:code/app/controller/PocsFile.php image add()函数$filename和$content完全可控导致任意文件写入 POC: filename=../../../code/app/controller/a.php&content=123

78778443 commented 2 years ago

已修复,感谢反馈~