2

我刚刚从我运行的几个站点收到以下错误:

Application_Error 事件中捕获的错误

错误:https:///phppath/php?-d+allow_url_include=on+-d+safe_mode=off+-d+suhosin.simulation=on+-d+disable_functions=""+-d+open_basedir=none+-d+auto_prepend_file =php://input+-n

错误消息:从客户端检测到潜在危险的 Request.Form 值(="堆栈跟踪:在 System.Web.HttpRequest.ValidateString(String value, String collectionKey, RequestValidationSource requestCollection)

显然,ASP.NET 刚刚拒绝了这一点——这是一件好事。

但我不明白,不是 PHP 类型的小伙子,是它想要做什么?

4

1 回答 1

1

攻击者在 HTTP 请求正文中发送了 PHP 代码,他正试图让您的 Web 服务器执行该代码。

引用请求正文(php://input即 POST 数据)。该指令允许脚本以与工作auto_prepend_file方式相同的方式包含 PHP 代码。如果成功,上传的代码将被添加并执行。include()require()

有效载荷很可能包含一个后门脚本和一些代码,可以让开发人员知道黑客攻击成功。

这很可能是一个随机选择您的服务器的机器人,而不是人类手动尝试它。

攻击者试图利用的漏洞是CVE-2012-1823

5.3.12 之前的 PHP 和 5.4.2 之前的 5.4.x 中的 sapi/cgi/cgi_main.c,当配置为 CGI 脚本(又名 php-cgi)时,不能正确处理缺少 =(等号)字符的查询字符串,它允许远程攻击者通过在查询字符串中放置命令行选项来执行任意代码,这与缺少跳过特定 php_getopt 的 'd' 情况有关。

http://www.cvedetails.com/cve/CVE-2012-1823

于 2013-06-13T07:31:35.253 回答