wordpress timthumb.php漏洞

Question

我想远程上传一个php文件到一个网页，它有TimThumb版本：1.28与众所周知的timthumb.php vurnable文件。但是当我从缓存中打开它时上传了php文件后，它并没有执行！我不知道是什么阻止它执行！我看到他们在timthumb.php中所做的更改，他们在每个进入缓存文件夹的文件中添加.txt文件，但添加的版本不是这个版本的新版本，所以我真的很困惑什么会阻止它执行！顺便说一句，这只是为了学习的目的。

Answer 1

如果服务器上的文件名为whatever.php.txt，那么它将被服务器视为TEXT文件，而不是PHP文件，并按照这种方式提供。您可以告诉服务器将.txt文件视为PHP文件，它们通过PHP解释器运行文件+代码，但是您只是重新打开了安全漏洞，该漏洞利用.txt补丁修补。

例如你仍然容易受到远程攻击。