文件包含漏洞

通过url判断文件包含漏洞（参数直接引入文件）

发现文件包含漏洞可以先尝试php伪协议进行命令执行（php://input或者data://text/plain）;

发现allow_url_include参数应该没开启；那么寻找文件上传点上传图片马；通过文件包含漏洞执行图片马获取对方的shell

代码分析

template下的header.php中存在文件包含漏洞（该文件被file文件夹下的多数文件进行包含）

f参数可以包含任意文件通过php格式解析（这是文件包含点）

根目录下的index.php文件；r参数用于获取包含文件的名字，如果没有给r参数赋值则执行file文件夹下的index.php文件，如果r有值则包含file文件夹下的对应php文件，没有则返回空

查看file文件夹下的index.php代码；该文件包含了template文件夹下的header.php文件；

即r参数不赋值的情况下也会存在文件包含漏洞

文件上传点（能上传图片马，但是没法上传php等可解析的文件）

该网站的后台存在很多文件上传点；不同位置的文件保存路径不同；

设置中图片水印位置上传时需要添加img_kg和ing_slt参数的数据；

通过bp抓包修改后上传成功图片马（这里以文件内容中上传图片为例）

利用文件包含漏洞执行图片马(成功执行phpinfo())

不设置r参数：

xhcms:8084/index.php?f=./upload/image/20240118/xxx.gif

设置r参数（由于file下的一些文件中包含了header.php文件）

xhcms:8084/index.php?r=about&f=./upload/image/20240118/xxx.gif