phpstudy中带的nginx存在文件解析漏洞

澳门十大网赌网址:2020-09-03 澳门十大正规网站: 10419 次

前些天,搞phpstudy之后,60多万肉鸡,赚200多万,判了11年那个案件记得吧。对就这个phpstudy

phpStudy支撑一键LAMP,LNMP,集群,监控,网站,FTP,数据库,JAVA等100多项服务器管理功能。具有windows跟linux两个版本。

昨天发现他们全版本 for windows,安装之后nginx有个文件解析问题。

构造一个png图片文件,gif也可以,传上去之后,能解析成php

比如 http://123.123.123.123/hacker.png/.php?aa=phpinfo();

成功将上传的png文件 解析成php文件.

说实话,这个跟phpstudy没什么关系,还是nginx的问题,大家测试了安装了phpstudy,全部windows版本都存在这个问题。但是linux版本,有些不没有这个问题。还得看版本。

这个漏洞,食之无味,弃之可惜。

首先需要有个上传文件的地方,不像宝塔直接可以访问。

 

转自:黑白之道

分享到:
×

微信扫一扫分享

XML 地图 | Sitemap 地图