在后台系统备份处,选择一个数据库后开始备份抓包

在这里插入图片描述
将tablename的值改为phpinfo()

在这里插入图片描述

然后在管理备份目录中查看,将readme.txt改为config.php

在这里插入图片描述

查看源码,在/admin/ebak/phome.php中

在这里插入图片描述

跟进Ebak_DoEbak,在/admin/ebak/class/functions.php中

获取tablename

在这里插入图片描述

遍历拼接

在这里插入图片描述

创建config.php并写入内容

在这里插入图片描述

可以看到,在获取tablename后遍历拼接,然后直接写入了config.php中,造成任意代码执行

在这里插入图片描述