phpinfo信息泄漏
admin
2023-06-14 21:02:25
0次
0x00 前言
phpinfo对于php程序员来说是熟悉不过的,但这个函数能列出服务器很多信息,稍有不慎就能给你服务器带来危害,那么这个函数究竟能泄漏什么样的信息呢?
0x01
1. 网站真实ip
当网站使用cdn或群集时,那么该文件会显示网站真实ip地址
2. 网站路径
当网站绝对路径泄漏时,如果能写webshell,则可以直接getshell;当日志文件路径泄露时,如果存在文件包含,则直接包含日志文件getshell
3. 应用信息
通过phpinfo可以查看到支持的特殊服务,例如:redis、fastcgi、memcache、ImageMagick等
如果存在redis、memcache等则可尝试未授权访问获取信息
如果存在fastcgi,则可尝试远程代码执行
如果使用了ImageMagick,则可根据版本尝试远程代码执行
4. 一些敏感配置
allow_url_include #该项如果开启,则支持远程文件包含,如果有存在文件包含的文件则可直接getshell,或可以使用php伪协议
disable_function #该项表示禁用的函数名
magic_quotes_gpc #php5.4以下版本有的函数,默认开启,会对特殊字符进行转移
5.php版本信息
php版本信息,每个php版本都有变化和特性
像php5.3.4以下 + magic_quotes_gpc off 可%00截断
如有不对处,请斧正
相关内容
热门资讯
“假煽情”还是“真必要”?家长...
临近毕业季,全国不少高中都在为高三学生举办成人礼。身穿礼服、挽着父母的手臂走过“成人门”、互换感恩信...
原创 走...
地球知识局 文字 | 林间草木声 校对 | 朝乾 编辑 | Alicia 5月2号,拥有上百架飞机的...
ChatGPT为什么敢胡编?深...
我以第一人称写下这些文字,并非因为我是人类,恰恰相反——我是一个AI。准确地说,我是某个大型语言模型...
斩获低空经济优秀示范项目奖|九...
近日,九洲集团旗下产业公司九洲空管凭借标杆性产业项目与低空领域核心技术优势,成功斩获2026UASE...
原创 玻...
在现代工业暖通空调系统中,柔性风管在气流控制、空间优化和系统连接方面发挥着至关重要的作用。在各种柔性...
惠州全链协同打造人工智能和机器...
千台机器人有望在年内产线“上岗”、无人物流车进行商业化前期测试、具身智能机器人实现量产……当前,人工...
小米发布2026年Q1财报:总...
【太平洋科技快讯】小米刚刚发布2026年第一季度财报,当季实现总营收991亿元,经调整净利润61亿元...
美重启海外钨矿资源,“西方要想...
【文/观察者网 张菁娟】随着美以联合对伊朗发动军事行动,中东战事的持续,高强度战争对战略物资的海量消...
深耕齐鲁赋能小微,华为坤灵助力...
智能化转型,已成为中小企业发展要务...... 中小企业是实体经济重要组成部分,在科技创新、吸纳就业...
CIBF 2026 看点|比克...
2026年5月13日,第十八届深圳国际电池技术交流会/展览会(CIBF 2026)拉开帷幕,比克电池...