type
status
date
slug
summary
tags
category
icon
password
PHP-CGI 远程代码执行漏洞(CVE-2012-1823)
PHP-CGI 是一个 SAPI(服务器应用程序编程接口)实现,用于使 PHP 与 Web 服务器进行通信。PHP-CGI 中的一个漏洞允许攻击者通过查询字符串向 PHP 传递命令行参数,从而可能导致远程代码执行。
影响版本:PHP < 5.3.12 或 PHP < 5.4.2
漏洞环境
环境启动后,访问
http://your-ip:8080/可以看到hello字样。
漏洞复现
访问
http://your-ip:8080/index.php?-s即可显示源代码,说明漏洞存在。发送如下数据包可执行任意 PHP 代码:若index.php 不存在,也可自行写入
送如下数据包可执行任意
PHP代码:或者直接抓刷新包,然后右键修改协议为POST ,并将url路径以及body写入即可
- 作者:brown
- 链接:https://bbrownn.dpdns.org//article/CVE-2012-1823
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
