PHPOK 4.8.338 后台任意文件上传漏洞

phpok是深圳市锟铻科技有限公司一套采用PHP+MYSQL语言开发的企业网站系统。 phpok 4.8.338版本存在任意文件上传漏洞，攻击者可利用漏洞上传任意文件，获取网站权限。

通过bp爆破，登录后台：

选择，工具 > 附件分类管理 编辑分类列表。在支持的附件类型： 中添加PHP类型：

点击内容管理-咨询中心-行业新闻，添加新闻，类型选择刚刚新建的压缩软件，上传得到：

该文件在刚刚设置是的存储目录是res/,所以我们通过浏览器访问该大马：

即可拿到系统用户权限！

有问题代码出现在/framework/admin/rescate_control.php

这里只判断附件类型是否为空，并没有限制后缀，导致可以自行添加php后缀，进而执行上传文件操作，获取网站shell。

加固方法：对上传类型后缀进行过滤