本人菜鳥一個，從來沒有搞過PHP的，每次遇到PHP網(wǎng)站便鳴金收兵（真切的感受到?jīng)]有技術(shù)的悲哀）。最近聽說PHP168爆出了任意文件下載漏洞，于是我便萌生了研究的想法（總是躲著也不是辦法呀）。到網(wǎng)上搜了資料看了半天，結(jié)果還是一頭霧水，最后請教了一下我的好哥們兒“Dream an end”，聽完他的講解我才如夢初醒，令我吃驚的是這樣的漏洞嚴(yán)重到不可饒恕，我隨便找了一個網(wǎng)站測試了一下，竟然意外的拿下了該服務(wù)器的3389權(quán)限。

 1.PHP168任意文件下載漏洞原理

這里說明一下，這個漏洞出現(xiàn)在網(wǎng)站根目錄下的job.php文件，這個文件原本是提供下載文件附件功能的，可是在對參數(shù)進(jìn)行處理時出現(xiàn)了問題，這就導(dǎo)致我們可以下載網(wǎng)站目錄下的所有文件，而且在/cache/adminlogin_logs.php文件里保存著網(wǎng)站管理員的登陸日志，管理員的賬號和密碼也都會記錄在里面，我們可以利用PHP168的這個漏洞直接將/cache/adminlogin_logs.php這個文件下載到本地。

2.使用simplegoog工具搜索使用PHP168系統(tǒng)的網(wǎng)站
閑話少說，大家看我操作。首先要搜一下使用php168系統(tǒng)的網(wǎng)站，直接用Google，百度又慢又累人，這里我介紹大家一款叫做simplegoogl的工具（http://www.antian365.com/bbs/forumdisplay.php?fid=180），直接在搜索框輸入“powered by PHP168 inurl:job.php”點(diǎn)搜索，如圖1所示。

圖1使用simplegoog工具搜索結(jié)果

3.使用轉(zhuǎn)換工具進(jìn)行Base64地址轉(zhuǎn)換

在simplegoog工具右邊出來一大批鏈接網(wǎng)址，可以根據(jù)需要選擇去除重復(fù)和保存URL的功能。隨便點(diǎn)了一個網(wǎng)站，直接訪問漏洞文件http://xxxx/job.php，結(jié)果返回一片空白，這說明漏洞文件是存在的。由于job.php文件的url=后面接收的參數(shù)需要經(jīng)過base64加密，所以我們用工具轉(zhuǎn)換一下，轉(zhuǎn)換結(jié)果如圖2所示。

圖2使用轉(zhuǎn)換工具轉(zhuǎn)換base64地址