0x00:简介
phpinfo — 可以输出关于 PHP 配置的信息
<?php phpinfo(); ?>
可以辅助 大佬 掉头发的小哥哥 运维人员 输出 PHP 当前状态的大量网站基础信息,其中包含了 PHP 编译选项、启用的扩展、PHP 版本、服务器信息和环境变量等
因为每个系统安装得有所不同,phpinfo() 常常用于在系统上的信息检查,网站配置设置和 预定义变量。
但是大佬 掉头发的小哥哥 运维人员不注意看的话,phpinfo会携带出很多敏感信息。比如下面的栗子。
家人们注意了啊,前方高能!
0x01:复现
简单一瞥,好像没啥问题
这有啥好看的
但是,家人们啊 往下看
家人们啊
看到没
没看到的话
拿我的八倍镜去瞅瞅
妥妥的数据库账户密码啊
整个Navicat 连接试试呗!
看到没
连接成功了
没毛病啊
家人们
这库比我家村口小卖部的零食都多
这家伙
开的是仓库啊
还有些整到了这些玩意
这些问题
大佬 掉头发的小哥哥 运维人员没注意看的么
要是不要的话
我拿我二舅姥爷的洗脸盆换换
那么是咋整到这些问题的呢
这我就🉐️整两句了
还是fofa老哥好使
这家伙
这老哥吧
怎么说呢
贼厚道
给的又多
关键有些还免费
下次遇到它
高低跟它喝一个
家人们啊
点点转发
我下次给你们整一个数据多点的漏洞
妥妥的哈
0x02:修复
一、删除phpinfo页面
二、多瞅瞅 洛米唯熊 的文章