1、Install/index.php文件下存在可控参数step和action
    image.png

    2、22行从config.json参数,如果first为0,并且step为空就退出
    但是这个step可控
    image.png

    3、因此只要增加step=n即可重装
    image.png
    image.png
    4、在重装的过程中step=3时
    传入多个可控参数
    image.png
    并且未经过滤,写入了conn.php
    image.png


    即step=3的此处
    image.png

    构造payload=aaa— -“);phpinfo();//“

    image.png
    但是需要输入数据库账号密码,所以getshell还是比较难的

    image.png
    之后就会安装成功
    image.png
    此时访问即可出现php代码
    我们可以输入一句话进行权限控制
    image.png