本人菜鳥一個，從來沒有搞過PHP的，每次遇到PHP網站便鳴金收兵（真切的感受到沒有技術的悲哀）。最近聽說PHP168爆出了任意文件下載漏洞，于是我便萌生了研究的想法（總是躲著也不是辦法呀）。到網上搜了資料看了半天，結果還是一頭霧水，最后請教了一下我的好哥們兒“Dream an end”，聽完他的講解我才如夢初醒，令我吃驚的是這樣的漏洞嚴重到不可饒恕，我隨便找了一個網站測試了一下，竟然意外的拿下了該服務器的3389權限。

 1.PHP168任意文件下載漏洞原理

這里說明一下，這個漏洞出現在網站根目錄下的job.php文件，這個文件原本是提供下載文件附件功能的，可是在對參數進行處理時出現了問題，這就導致我們可以下載網站目錄下的所有文件，而且在/cache/adminlogin_logs.php文件里保存著網站管理員的登陸日志，管理員的賬號和密碼也都會記錄在里面，我們可以利用PHP168的這個漏洞直接將/cache/adminlogin_logs.php這個文件下載到本地。

2.使用simplegoog工具搜索使用PHP168系統的網站
閑話少說，大家看我操作。首先要搜一下使用php168系統的網站，直接用Google，百度又慢又累人，這里我介紹大家一款叫做simplegoogl的工具（http://www.antian365.com/bbs/forumdisplay.php?fid=180），直接在搜索框輸入“powered by PHP168 inurl:job.php”點搜索，如圖1所示。

圖1使用simplegoog工具搜索結果

3.使用轉換工具進行Base64地址轉換

在simplegoog工具右邊出來一大批鏈接網址，可以根據需要選擇去除重復和保存URL的功能。隨便點了一個網站，直接訪問漏洞文件http://xxxx/job.php，結果返回一片空白，這說明漏洞文件是存在的。由于job.php文件的url=后面接收的參數需要經過base64加密，所以我們用工具轉換一下，轉換結果如圖2所示。

圖2使用轉換工具轉換base64地址