您的位置：首页 > 编程语言 > PHP开发

php文件报告 php内置协议访问cmd执行系统命令

2016-01-06 23:35 267 查看

这个漏洞需要有前提条件的需要修改php.ini 一个参数才可以执行漏洞

修改allow_url_include = On 这样在配合php文件包含 php内置协议就可以执行漏洞了

修改完成重启apache 接着查看我们服务器php文件源代码

万年不变源代码

<?php
if ($_GET['func']) {
include $_GET['func'];
} else {
include 'default.php';
}
?>

报错到这里还不能确定有没有php内置协议漏洞接着往下看

下面我有用burp抓取数据包

看到没有使用burp 没有返回信息说明可能有这个漏洞

直接上命令

<?php system("whoami"); ?>

ok系统命令执行了存在漏洞

内容来自用户分享和网络整理，不保证内容的准确性，如有侵权内容，可联系管理员处理

标签：

相关文章推荐

新的分享

章节导航

php文件报告 php内置协议 访问cmd执行系统命令