php低版本彩蛋
阿新 • • 發佈:2018-12-22
如果 true 分享圖片 手動 log lan 出現 str 文件
最近看服務器的日誌,發現出現多個很奇怪的訪問記錄:
後面還有這樣的日誌:
GET /Runtime/phpinfo2.php?e=assert&pass=phpinfo(); HTTP/1.1" 200 12306
網站被人插了一句話木馬無疑。
疑問就是形似這樣的請求?=PHPE9568F34-D428-11d2-A769-00AA001ACF42是啥意思,看樣子後面的部分有點像是session,如果是個參數的話也沒見過像這樣直接通過?=傳遞的參數,難道該頁面通過特別的URI解析方式來確認使用者身份?由於文件已經被入侵者刪除,也沒法確認這一點,但感覺應該可能性不大。
後來查閱資料時發現了這篇文章:http://phpsadness.com/sad/11
原來在比較早的Php版本裏內置了一些php彩蛋,類似google瀏覽器的小恐龍???
只要在運行了5.5之前版本Php的網站域名後面輸入下面的字符參數,就可以看到些logo圖片之類。
?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 (PHP信息列表) ?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 (PHP的LOGO) ?=PHPE9568F35-D428-11d2-A769-00AA001ACF42 (Zend LOGO) ?=PHPE9568F36-D428-11d2-A769-00AA001ACF42 (PHP LOGO 藍色大象)
PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 :
PHPE9568F34-D428-11d2-A769-00AA001ACF42:
PHPE9568F35-D428-11d2-A769-00AA001ACF42:
PHPE9568F36-D428-11d2-A769-00AA001ACF42:
”彩蛋“只有這4種,且這個功能在早版本php裏是默認開啟的,由於並沒有泄露什麽東西,也不必把它當作漏洞。不過據說有些掃描器會將提交這些請求來判斷網站是不是php語言,並且可以用來判斷php版本是不是小於5.5,由此來找一些已知的版本漏洞來進行攻擊。
這個功能在Php 5.5版本已經棄用,如果要手動關閉這個功能,只要在php.ini裏將expose_php改為Off即可。
php低版本彩蛋