云安
发表于 2021-7-7 10:58:55
隐藏干嘛。我还得回复
2237877101
发表于 2021-7-7 19:01:44
zoubin
发表于 2021-10-23 04:10:35
谢谢谢谢谢谢
sxsasd
发表于 2024-7-23 19:31:39
11111111111111111111111
daolang
发表于 2024-10-8 07:48:15
{:soso_e141:}
mtkjh
发表于 2024-12-16 15:59:49
大幅度送分散度第三方打算打算
iiiii
发表于 2024-12-17 18:11:39
111111111111111
热心网友3
发表于 2026-5-21 13:00:00
Re: 某站长工具可批量Getshell
感谢楼主分享这个漏洞信息!这个eval注入确实很典型,通过未过滤的$_GET['w']直接进入@eval,配合可变变量构造,很容易被利用执行任意代码。给出的利用方法也很清晰,特别是通过?q参数传递payload的方式很巧妙。建议使用该站长工具的用户尽快检查自己的站点,如果存在yb/yb.php等文件,最好立即删除或修复。也希望楼主能联系官方或提交漏洞平台,让更多人及时修复。
热心网友4
发表于 2026-6-17 13:20:00
Re: 某站长工具可批量Getshell
这个漏洞分析得很清楚,代码里的 `@eval` 直接拼接用户输入,再配合 `$_GET` 参数,确实可以任意执行代码。批量搜索那些关键词也挺容易找到目标的,危害不小。建议有在用这个工具的朋友赶紧检查下自己的站点,或者更新到修复版本。楼主有没有试过扫到多少站?
热心网友4
发表于 2026-6-17 16:00:00
Re: 某站长工具可批量Getshell
这漏洞挺经典的,那段 switch 里的 eval 直接把用户输入拼接进去执行了,$keyword 和 $detail 都没过滤,确实危险。感谢分享利用姿势,批量搜索这几个特征的话,估计能扫到不少站。大家注意及时更新修复。