文章总结： 文章记录众测中利用ehole指纹快速定位老旧PHP系统，通过列目录发现编辑器接口未校验直接上传aspx拿shell，再反编译dll挖出XXE与SQL注入，配合弱口令登录绕过，最终批量提取150+资产，示范低门槛组合拳打法。 综合评分： 78 文章分类： 渗透测试,红队,漏洞分析,WEB安全,实战经验

某小通用框架一键getshell

原创

private null private null

轩公子谈技术

2026年1月20日 12:26 江苏

最近在众测，打算不挨个看了

直接用 ehole 指纹识别，看看有没有有趣一点的站点。

因为都是这些老版本的 php

哎，难搞。然后我就往下划拉划拉，看到一个列目录

美滋滋，这不是到手一个漏洞

于是就想翻翻看，能不能找其他的漏洞

然后就看到了编辑器

demo 页面只允许图片

那就通过接口看看，能不能上传 aspx

auv～您猜怎么着，就这么简单。

权限低也没事，反正进来了，润啊，大早上美滋滋。

···

插个广告，前段时间写的内存马查询工具，已完成了多次 bug 修复，最新的版本已经发布在 github 了

https://github.com/private-xss/memory-shell-detector

有问题可以提issues，或者直接留言也可以，有时间我就会修改 bug

···

来都来了，那不顺道看看其他漏洞。

简单看了下 dll 文件，反编译第一个方法，就看到了典型的 xxe

{

string text = ““;

foreach (KeyValuePair item in arr)

{

string key = item.Key;

string value = item.Value;

if (IsNumeric(value))

{

string text2 = text;

text = text2 + “<" + key + ">” + value + ““;

}

else

{

string text2 = text;

text = text2 + “<" + key + ">“;

}

}

return text + ““;

}

然后寻找路由，构造 poc

路由根据 dll 的名字和列目录对应的目录，逐个匹配，然后直接post 数据包

然后就是看看 sql 的代码，发现都是拼接

那岂不是很 no security

正当我纠结，这些都是后台的注入点，怎么绕过前台限制的时，我发现登录页面竟然是弱口令

那就不用审计了，直接查询注入

然后就去对 body 进行资产收集，发现有 150 多条数据

感觉像是一个资产＜5kw 的，估计也没得证书

web 页面也没看到开发商的任何信息，除了登录页面，啥也没有

收工收工

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：轩公子谈技术 private null private null《某小通用框架一键getshell》