关键漏洞信息 漏洞名称: WebBid converter.php Remote PHP Code Injection 描述: 该模块利用了WebBid版本1.0.2中的一个漏洞。通过滥用converter.php文件,恶意用户可以在includes/currencies.php脚本中注入PHP代码,无需任何身份验证,从而导致任意代码执行。 影响版本: WebBid 1.0.2 发现者: EGiX CVE编号: 无 发布时间: 2011-07-09 参考链接: - OSVDB: 73806 - FORUM: 38027 - URL: http://web.archive.org/web/20230206230259/http://www.webidsupport.com/forums/showthread.php?38027 权限要求: 无需身份验证 目标平台: Ubuntu 可靠性: 未知 稳定性: 未知 副作用: 未知 漏洞利用步骤 1. 检查目标: 发送请求到 和 以确认目标版本和存在性。 2. 准备payload: 修改 文件,注入PHP代码。 3. 执行payload: 通过发送POST请求到 并包含payload来执行注入的PHP代码。 4. 清理: 删除或恢复修改的 文件。 注意事项 使用此模块时需要使用Meterpreter payload以便自动清理。 如果不使用Meterpreter payload, 文件不会自动恢复。