wordpress timthumb.php漏洞

Question

我正在尝试远程上传一个php文件到一个网页，它有一个众所周知的timthumb.php vurnable文件的TimThumb版本: 1.28。但是，在我上传php文件后，当我从它的缓存中打开它时，它并没有执行！我不知道是什么阻止了它的执行！我看到了他们在timthumb.php中所做的更改，他们将.txt添加到缓存文件夹中的每个文件，但它是在一个较新的版本中添加的，而不是在这个版本中，所以我真的很困惑是什么阻止了它的执行！顺便说一下，这只是为了学习的目的。

Answer 1

如果服务器上的文件名为whatever.php.txt，那么它将被服务器视为文本文件，而不是PHP文件，并以此方式提供服务。您可以告诉服务器将.txt文件作为PHP文件处理，PHP文件将通过PHP解释器运行file+code，但这样做只是重新打开了.txt补丁修补的timthumb的安全漏洞。

例如，你仍然容易受到远程黑客的攻击。