wordpress timthumb.php漏洞

Question

我想遠程上傳一個php文件到一個網頁，它有TimThumb版本：1.28與衆所周知的timthumb.php vurnable文件。但是當我從緩存中打開它時上傳了php文件後，它並沒有執行！我不知道是什麼阻止它執行！我看到他們在timthumb.php中所做的更改，他們在每個進入緩存文件夾的文件中添加.txt文件，但添加的版本不是這個版本的新版本，所以我真的很困惑什麼會阻止它執行！順便說一句，這只是爲了學習的目的。

Answer 1

如果服務器上的文件名爲whatever.php.txt，那麼它將被服務器視爲TEXT文件，而不是PHP文件，並按照這種方式提供。您可以告訴服務器將.txt文件視爲PHP文件，它們通過PHP解釋器運行文件+代碼，但是您只是重新打開了安全漏洞，該漏洞利用.txt補丁修補。

例如你仍然容易受到遠程攻擊。