由PHP168任意文件下载0DAY到服务器提权

　2008-12-15 13:38:26　来源：WEB开发网　闂傚倷绶氬ḿ褍螞閹绢喖绠柨鐕傛嫹

闂傚倷绀侀幉锟犲垂閻㈠灚宕查柟鎵閸庡秵銇勯幒鎴濃偓鐢稿磻閹炬枼妲堟繛鍡楃С濞岊亞绱撻崒姘扁枌闁瑰嚖鎷�

婵犵數濮幏鍐川椤撴繄鎹曢梻渚€娼уú銈吤洪妸鈺佺劦妞ゆ帊鑳堕埊鏇㈡煏閸モ晛浠х紒杈╁仱閺佹捇鏁撻敓锟�闂傚倷绶氬ḿ褍螞閹绢喖绠柨鐕傛嫹　　闂傚倷鑳舵灙缂佺粯顨呴埢宥夊即閵忕姵鐎梺缁樺姇閻忔氨鈧凹鍓熷娲垂椤曞懎鍓伴梺閫炲苯澧紒澶婄秺瀵濡歌閸嬫捇妫冨☉娆忔殘闂佷紮缍€娴滎剟鍩€椤掑倹鏆柛瀣躬瀹曚即寮借閺嗭箓鏌ㄩ悤鍌涘

核心提示： 我尝试着在添加文章里上传PHP木马，结果很自然地提示文件格式错误，由PHP168任意文件下载0DAY到服务器提权(3)，我又试着上传asp，asa文件，熟悉的界面再一次跳入眼帘，如图8所示，结果依然是文件格式错误，不过我在网站核心设置里找到一个添加会员上传文件类型的功能

我尝试着在添加文章里上传PHP木马，结果很自然地提示文件格式错误，我又试着上传asp，asa文件，结果依然是文件格式错误，不过我在网站核心设置里找到一个添加会员上传文件类型的功能，直接添加php类型，然后到前台注册一个会员，然后上传PHP木马。结果还是提示格式错误，看来上传PHP木马这条路是行不通的。

继续查看后台的其他功能，选择独立页面管理，里面竟然有增加页面选项（貌似一个Webshell的突破口），点击进入，在内容处写入我们的PHP木马，网页名称我们填写123.php然后提交。结果让我喜出望外，竟然提示创建成功，我迫不及待的打开该网页，令我郁闷的是文本原样输出。如图6所示。

由<a target= PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图6 获取Webshell失败

正在我感到无奈的时候，我突然发现后台还有模板设置的功能，直接添加模板，然后点击修改模板，模板名称改成templa.php，内容填入我们的PHP木马。如图7所示。

由<a target= PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图7通过模板来获得突破

然后提交。这里记下模板的路径，然后访问http://xxxx/template/default/templa.php文件成功访问，输入密码后，熟悉的界面再一次跳入眼帘。如图8所示。Webshell至此已经完全拿下。

由<a target= PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>