对CVE-2018-12613的分析

  1. 影响范围
  2. 问题代码
  3. Call Stack

影响范围

4.8.x before 4.8.2

问题代码

简单来说,正则取?前字符串,之后将该字符串与白名单做对比。

但由于进行了urldecode这个操作,我们就可以混入一个?来绕过检测。

最后使用../来实现lfi

Call Stack


如果我的文章能帮到您的话我会很开心.如需转载记得注明出处:)
目录