PhpStudy是一个PHP调试环境的程序集成包。该漏洞由于phpstudy集成环境在配置Nginx+php环境中,Nginx默认版本在1.15.11中存在Nginx解析漏洞,利用漏洞可以将文件解析为php运行。
Nginx 0.8.41-1.4.3 / 1.5.0-1.5.7(php所有版本)
访问文件路径后加/.php可以解析为php文件
漏洞环境: https://public.xp.cn/upgrades/phpStudy_64.zip //直接安装即可 复现过程: 1、小皮面板中启动Ngnix 2、将<?phpinfo();?>写入随便一张图片中,放在web根目录下 3、访问http://192.168.72.129/php.gif为正常图片 路径后加/.php就解析为php文件 参考链接:https://mp.weixin.qq.com/s/HOxuAPxlmp0rppLFKj1aAQ
