phpstudy中带的nginx存在文件解析漏洞

华盟原创文章投稿奖励计划

前些天,搞phpstudy之后,60多万肉鸡,赚200多万,判了11年那个案件记得吧。对就这个phpstudy

phpStudy支持一键LAMP,LNMP,集群,监控,网站,FTP,数据库,JAVA等100多项服务器管理功能。具有windows跟linux两个版本。

昨天发现他们全版本 for windows,安装之后nginx有个文件解析问题。

构造一个png图片文件,gif也可以,传上去之后,能解析成php

比如 http://123.123.123.123/hacker.png/.php?aa=phpinfo();

成功将上传的png文件 解析成php文件.

phpstudy中带的nginx存在文件解析漏洞

说实话,这个跟phpstudy没什么关系,还是nginx的问题,我们测试了安装了phpstudy,全部windows版本都存在这个问题。但是linux版本,有些不没有这个问题。还得看版本。

这个漏洞,食之无味,弃之可惜。

华盟知识星球入口

首先需要有个上传文件的地方,不像宝塔直接可以访问。

本文原创,作者:congtou,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/266808.html

发表评论