关键信息 漏洞概述 漏洞名称: SIMOGEO FileManager 2.3.0 - Multiple Vulnerabilities EDB-ID: 未提供 CVE: 未提供 作者: MEHMET YILDIZ 类型: WEBAPPS 平台: PHP 日期: 2015-12-08 验证状态: EDB Verified 漏洞详情 1. 路径遍历漏洞 (Path Traversal Vulnerability) 描述: 可以通过特定的路径请求访问任意文件。 测试环境: Debian (Wheezy) 过滤规则: - -> blank - -> disallowed - -> 攻击请求示例: 2. 文件上传漏洞 (File Upload Vulnerability) 描述: 可以上传恶意文件并执行。 测试环境: Debian (Wheezy) 步骤: 1. 上传文件 - 使用POST请求上传一个PHP文件,例如 。 2. 修改文件扩展名(如从 改为 )并通过路径遍历绕过限制。 3. 访问上传的文件以执行恶意代码。 3. 执行上传文件 URL: 响应: 返回WebShell代码,允许进一步操作。 总结 SIMOGEO FileManager 2.3.0 存在路径遍历和文件上传漏洞,攻击者可以利用这些漏洞访问系统文件、上传并执行恶意代码,从而控制服务器。