看我如何利用Drupal漏洞并通过恶意图片实现一键RCE

这种情况下，图片会被存储至/sites/default/files/inline-images/_0。但是，攻击者在评论某篇文章之前注册一个用户账号。