由PHP168任意文件下载0DAY到服务器提权(1) 返回列表

本人菜鸟一个，从来没有搞过PHP的，每次遇到PHP网站便鸣金收兵（真切的感受到没有技术的悲哀）。最近听说PHP168爆出了任意文件下载漏洞，于是我便萌生了研究的想法（总是躲着也不是办法呀）。到网上搜了资料看了半天，结果还是一头雾水，最后请教了一下我的好哥们儿“Dream an end”，听完他的讲解我才如梦初醒，令我吃惊的是这样的漏洞严重到不可饶恕，我随便找了一个网站测试了一下，竟然意外的拿下了该服务器的3389权限。

 1.PHP168任意文件下载漏洞原理

这里说明一下，这个漏洞出现在网站根目录下的job.php文件，这个文件原本是提供下载文件附件功能的，可是在对参数进行处理时出现了问题，这就导致我们可以下载网站目录下的所有文件，而且在/cache/adminlogin_logs.php文件里保存着网站管理员的登陆日志，管理员的账号和密码也都会记录在里面，我们可以利用PHP168的这个漏洞直接将/cache/adminlogin_logs.php这个文件下载到本地。

2.使用simplegoog工具搜索使用PHP168系统的网站
闲话少说，大家看我操作。首先要搜一下使用php168系统的网站，直接用Google，百度又慢又累人，这里我介绍大家一款叫做simplegoogl的工具（http://www.antian365.com/bbs/forumdisplay.php?fid=180），直接在搜索框输入“powered by PHP168 inurl:job.php”点搜索，如图1所示。

3.使用转换工具进行Base64地址转换

在simplegoog工具右边出来一大批链接网址，可以根据需要选择去除重复和保存URL的功能。随便点了一个网站，直接访问漏洞文件http://xxxx/job.php，结果返回一片空白，这说明漏洞文件是存在的。由于job.php文件的url=后面接收的参数需要经过base64加密，所以我们用工具转换一下，转换结果如图2所示。