0x01 前言

Veneno's  写的，其实文章内容还不错，所以给大家分享下。这位也是技术发烧友，低调型、

里面有两个知识点需要理解：
1.Metinfo采用的伪全局变量，之前也有过变量覆盖导致SQL注入的案例
/include/common.inc.php

2.zip://伪协议的使用
zip:///usr/share/nginx/html/webmulu/1.zip#1.php

0x02 漏洞分析

grep下引用了common.inc.php的文件

然后发现后台登录检查的地方有个$depth变量，我们检查下这个文件

结合下zip伪协议就可以绕过require_once中’../include/captcha.class.php’的限制了（一开始只想着截断了…）

0x03 漏洞证明

首先生成一个特定的zip包如下：

然后我们前台注册一个账户，上传头像处将这个zip包上传，得到路径：
D:/winsoftware/wamp/www/met539/upload/head/1.png（当然这里只能得到相对路径）

构造POC如下：

可以看到成功执行了命令，不错的话获取的是系统权限。

本文始发于微信公众号（飓风网络安全）：【PHP代码审计】 Metinfo5.3.10版本前台Getshell