| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> PHP知识库 -> 记录一期Thinkphp5 WebShell木马渗透的经历 加修复建议 -> 正文阅读 |
|
[PHP知识库]记录一期Thinkphp5 WebShell木马渗透的经历 加修复建议 |
ThinkPHP的宗旨是简化开发、提高效率、易于扩展,其在对数据库的支持方面已经包括MySQL、MSSQL、Sqlite、PgSQL、 Oracle,以及PDO的支持。ThinkPHP有着丰富的文档和示例,框架的兼容性较强,但是其功能有限,因此更适合用于中小项目的开发。 但是漏洞也层出不穷,有一天发现自己的的小程序突然打不开了, 当时很惊慌,未了解网络渗透方面的知识的无束手无策 但是没办法 哪里跌倒哪里爬起!!! PHP木马上传 网上一堆文章对其进行描述,本人在开发项目的时候也知道有这么一回事但是抱着一种态度 小破站没人会攻击你所以就没太注意。 有一天 网页首页被占了 那时候很郁闷 到底发生了啥 然后进入服务器看 发现 ThinkPHP 首页的 Index.php 文件被篡改成了 一个Html文件 导致后台接口打不开同时里面内容还有一些脚本。
为什么
访问这个Url发现 就是一堆加密过的木马文件 ,出于好奇 我将它复制到了服务器并且修改了相关内容。让其打印该木马内容
去除MD5加密后将上面的 $password;输入 然后页面就可以打开了 发现该脚本后 我立马搜索资料 对漏洞进行修复,最后发现实 ThinkPhP5的一个重大漏洞 遇到这个问题的人不止我一个。 下面是修复的过程
2、thinkphp\library\think\Request.php 将public function method($method = false)方法更改 改成如下
同时后端代码要严格的判断文件上传的 内容是否合法 禁止上传非法脚本文件。要不然容易被黑! |
|
PHP知识库 最新文章 |
Laravel 下实现 Google 2fa 验证 |
UUCTF WP |
DASCTF10月 web |
XAMPP任意命令执行提升权限漏洞(CVE-2020- |
[GYCTF2020]Easyphp |
iwebsec靶场 代码执行关卡通关笔记 |
多个线程同步执行,多个线程依次执行,多个 |
php 没事记录下常用方法 (TP5.1) |
php之jwt |
2021-09-18 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/27 20:20:46- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |