一、背景介绍

LayerBB是一个功能丰富的小型社区软件，可让您快速轻松地启动自己的社区。 它提供了极大的灵活性和易于定制。。

1.1 漏洞描述

在LayerBB 1.1.3版本中后台存在任意文件上传漏洞。在文件上传时，程序未对所上传的文件进行过滤处理，从而导致漏洞发生。结合前台XSS漏洞，实现getshell

1.2 受影响的系统版本

LayerBB 1.1.3

二、漏洞分析

2.1 XSS

漏洞位置: application/commands/new.php

post过来$ pm_title变量直接输出到页面，导致反射型xss漏洞

2.2 任意文件上传漏洞

漏洞位置：admin/general.php

general.php对上传文件处理时，没有对后缀名进行过滤，造成任意文件上传漏洞

三、漏洞利用

1. 通过xss获取csrf令牌并构造getshell请求

2.poc.html

3. poc.js

4. poc.html和poc.js分别保存到攻击者的服务器上; 管理员用户访问以下URL：

https://attacker server/poc.html

5. 成功触发了2个漏洞; 成功执行任意代码（getshell）

https://demo.layerbb.com/uploads/test3.php