• 欢迎访问挑战自我博客网站,安全研究,web渗透,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入挑战自我博客网站 网站主页

标签:php

tool

Nginx+PHP+Fastcgi的代码执行漏洞

Nginx+PHP+Fastcgi的代码执行漏洞
一、详细说明今天刚刚挖的一个漏洞,写报告写得比较认真,这边发出来大家一起研究下,为了保护隐私,我这里把厂商的域名全部替换为www.test.com了,该站点存在基于 Nginx+PHP+Fastcgi的代码执行漏洞。我想首先讨论一下问题的本质,它不是由Nginx本身引起的,或者说它本身不是bug或者安全漏洞。这个漏洞理解起来很简单,当用户访问下面这个链接……继续阅读 »

挑战自我 1周前 (11-14) 61浏览 0评论3个赞

挖洞经验

php的Smarty服务端模板注入,允许远程执行命令

php的Smarty服务端模板注入,允许远程执行命令
1、漏洞简介我在Unikrn的服务器上发现了一个漏洞:可以允许我执行‘file_get_contents ’函数,并且读取/etc/passwd文件的内容。2、漏洞具体描述这个服务器看起来后台使用的是php的smarty模板,当在用户选项中的firstname, lastname或者nickname中输入一个恶意的payload,然后邀请一个用户来加入……继续阅读 »

挑战自我 1年前 (2017-08-22) 2801浏览 0评论16个赞

site

如何维持windows下php-cgi进程的稳定性

如何维持windows下php-cgi进程的稳定性
如何维持windows下php-cgi进程的稳定性内容简介关于这个问题,一直纠结了很久。因为php-cgi在linux中由fpm负责管理,Apache也不采用cgi这种模式,所以当在windows系统下使用nginx时,启用的php-cgi进程就很不稳定,经常奔溃退出。找了很多资料终于解决了这个问题,我利用了一个叫作xxfpm的FastCGI进程管理器,……继续阅读 »

挑战自我 1年前 (2017-07-22) 2476浏览 0评论10个赞