由PHP168任意文件下载0DAY到服务器提权

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>　

图2使用转换工具转换base64地址

4.下载任意php文件

我们把这段密文当作参数传递给job.php文件，在地址栏里输入http://xxxx/job.php?job=download&url=aHR0cDovL3h4eHgvL2NhY2hlL2FkbWlubG9naW5fbG9ncy5waHA=，直接弹出文件下载提示，如图3所示。

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图3下载adminlogin_logs.php文件

5.使用记事本编辑adminlogin_logs.php文件

将adminlogin_logs.php文件保存到桌面，然后用记事本打开，就能得到很多管理员登陆信息。如图4所示。

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图4获取管理员登录密码md5值

6.破解管理员的md5密码值和登录网站后台

把上图的密码散列拿到md5网站上跑一下，运气好的话就可以登陆后台了。PHP168的后台路径默认在admin目录里，我们访问http://xxxx/admin/，输入用户名密码以后轻松的进入后台管理页面。如图5所示。现在很多使用PHP168的网站都存在这个下载文件的漏洞。

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图5登录网站后台

7.获取网站系统的Webshell

接下来就要想办法拿Webshell啦，我粗略的看了一下后台，发现PHP168后台的功能还是比较强大的，同时也预示着我们拿下Webshell的可能性增加了。