铭飞CMS存在文件上传---getshell

来自明飞官网MCMS: 完整开源的Java CMS！基于SpringBoot 2架构，前端基于vue、element ui。每两个月收集issues问题并更新版本，为开发者提供上百套免费模板,同时提供适用的插件（文章、商城、微信、论坛、会员、评论、支付、积分、工作流、任务调度等...），一套简单好用的开源系统、一整套优质的开源生态内容体系。铭飞的使命就是降低开发成本提高开发效率，提供全方位的企业级开发解决方案

审核后找到上传点，form.ftl 这里有一篇文章缩略图上传点看他是否做了过滤然后根据action找到上传接口

在FileAction.class中搜索后只判断这里../防止目录跳转，继续往下看点击继承类

BaseFileAction.class 我发现他做了一个后缀判断，然后查看过滤器被调用的地方。

copy denied 全局搜索,application.yml 发现他在配置文件中写了filter过滤了exe,jsp,jspx,sh 就是说除了这四个以外其他都可以上传。

看看他有没有可以上传jsp的接口，搜索到TemplateAction.class有专门分析zip接口然后结合上面的过滤就可以上传zip了，能够通过zip包含jsp的恶意文件上传然后这个接口调用解析zip和解析jsp并访问。

基于分析代码的操作

找到文章缩略图地址，点击上传zip 

上传后右键复制图片路径，然后通过上面分析的调用zip接口解析fileUrl=刚刚上传的zip回车提示执行成功

查看上传目录后发现解压成功了我们是通过路径aaaaa.jsp访问然后用Godzilla连接他发现执行成功