CVE-2022-28525 ED01CMS 任意文件上传漏洞复现与原理分析漏洞编号CVE-2022-28525影响版本ED01CMS v20180505漏洞类型任意文件上传高危利用入口后台用户管理 → 用户头像上传测试工具Burp Suite、蚁剑一、漏洞概述ED01CMS v20180505 后台用户添加功能存在任意文件上传漏洞。系统仅前端限制上传类型后端未做任何校验攻击者可上传 PHP 木马获取 Webshell进而控制服务器、读取 Flag。二、漏洞复现操作步骤1、在春秋云镜中启动靶场进入用户注册页面登录后台管理面板发现注册页面无用尝试弱口令admin admin登录成功。4、每个页面都点点点击Users Manager→Add User找到头像上传入口。所有带星号的都必须填写。制作上传几句话木马新建文件夹填入之后把文件重命名为1.jpg。上传图片并使用burpsuit拦截。?php eval($_POST[666]);?6、拦截成功后修改1.jpg 为 1.php后放行7、打开users–user manager 看到用户已经上传成功。点击图片右键复制图像链接。8、打开蚁剑链接上传的木马9、链接成功成功获取 Webshell、获得服务器控制权限。进入网站根目录、查找 Flag、找到 Flag 文件、读取 Flag 内容成功获取 Flagflag{4c14675a-d2f1-4248-8ade-499e4c2e4d62}三、漏洞原理分析1. 漏洞根本原因仅前端校验可轻松绕过后端未校验文件后缀、类型、内容上传目录/images/支持 PHP 解析无文件重命名文件名完全可控2. 漏洞触发流程进入后台添加用户触发头像上传Burp 抓包修改文件名为.php后端直接保存文件访问上传路径触发木马获取 Webshell → 读取 Flag3. 漏洞类型典型无过滤任意文件上传漏洞属于 Web 漏洞中危害最高的一类。四、防护修复建议文件后缀使用白名单校验校验文件头幻数防止伪装图片上传文件强制随机重命名上传目录设置为不可执行 PHP前后端双重校验不依赖前端限制五、总结CVE-2022-28525 是 ED01CMS 中典型的文件上传漏洞利用简单、危害巨大。攻击者仅需抓包修改文件名即可拿到服务器权限完成文件读取、命令执行等恶意操作。