由PHP168任意文件下载0DAY到服务器提权

核心提示： 我尝试着在添加文章里上传PHP木马，结果很自然地提示文件格式错误，由PHP168任意文件下载0DAY到服务器提权(3)，我又试着上传asp，asa文件，熟悉的界面再一次跳入眼帘，如图8所示，结果依然是文件格式错误，不过我在网站核心设置里找到一个添加会员上传文件类型的功能

我尝试着在添加文章里上传PHP木马，结果很自然地提示文件格式错误，我又试着上传asp，asa文件，结果依然是文件格式错误，不过我在网站核心设置里找到一个添加会员上传文件类型的功能，直接添加php类型，然后到前台注册一个会员，然后上传PHP木马。结果还是提示格式错误，看来上传PHP木马这条路是行不通的。

继续查看后台的其他功能，选择独立页面管理，里面竟然有增加页面选项（貌似一个Webshell的突破口），点击进入，在内容处写入我们的PHP木马，网页名称我们填写123.php然后提交。结果让我喜出望外，竟然提示创建成功，我迫不及待的打开该网页，令我郁闷的是文本原样输出。如图6所示。

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图6 获取Webshell失败

正在我感到无奈的时候，我突然发现后台还有模板设置的功能，直接添加模板，然后点击修改模板，模板名称改成templa.php，内容填入我们的PHP木马。如图7所示。

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图7通过模板来获得突破

然后提交。这里记下模板的路径，然后访问http://xxxx/template/default/templa.php文件成功访问，输入密码后，熟悉的界面再一次跳入眼帘。如图8所示。Webshell至此已经完全拿下。

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图8 获得真正的webshell