文章目录
- 文件上传类
- 需求
- 文件上传漏洞
- 文件下载类
- 需求
- 文件下载漏洞
- 扩展
- 留言板类(XSS漏洞)
- 需求
- XSS漏洞
- 登录类
- 需求
- cookie伪造漏洞
- 万能密码登录
持续更新中…
文章中代码资源已上传资源,如需要打包好的请点击PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie的学习等等)
文件上传类
需求
1、在博客文件中生成上传文件的功能
2、只允许上传jpg、jpeg、png文件格式
upload.php
<!DOCTYPE html>
<html>
<head>
<title>文件上传</title>
</head>
<body>
<h2>文件上传</h2>
<form action="" method="POST" enctype="multipart/form-data">
<input type="file" name="upload">
<input type="submit" value="上传">
</form>
</body>
</html>
<?php
header("Content-Type: text/html; charset=UTF-8"); //设置字符集
//获取文件名字
@$name = $_FILES['upload']['name'];
//获取上传文件的类型
@$type = $_FILES['upload']['type'];
//获取上传文件的大小
@$size = $_FILES['upload']['size'];
//获取上传文件的错误代码
@$error = $_FILES['upload']['error'];
//获取上传文件的临时文件名
@$tmp_name = $_FILES['upload']['tmp_name'];
echo @$name . "<br>";//打印
echo @$type . "<br>";
echo @$size . "<br>";
echo @$error . "<br>";
echo @$tmp_name . "<br>";
if ($type == "image/jpeg" || $type == "image/jpg" || $type == "image/png") {
if (!move_uploaded_file($tmp_name, 'upload/' . $name)) {
echo "文件移动失败";
} else {
echo '/upload/' . $name;
echo "文件上传成功";
}
} else {
echo "文件类型不正确";
}
?>
文件上传漏洞
通过代码分析,做了文件类型的判断,只限于jpeg、png、jpg 三种类型进行上传,那么上传php一句话木马会提示文件类型不正确,并且在目录中未发现上传的文件
试想既然知道有限制,那么我们能不能抓包修改文件类型呢?
上传一个一句话木马文件,文件后缀 .php
<?php @eval($_POST['cmd']);?>
修改为: Content-Type:image/png,放包
发现上传成功并获取到了路径
进行漏洞利用
文件下载类
需求
1、创建一个文件下载的功能
2、在soft文件夹中提取所需要的东西
3、需要有选择框,以供选择
download.php
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>文件下载</title>
</head>
<body>
<h1>直接下载</h1>
<?php
// 获取文件路径
$filepath = '../soft/';
// 获取文件列表
$filenames = scandir($filepath);
// 创建下载表单
echo '<form action="" method="POST">';
echo '需要下载的文件:<select name="name">';
// 生成文件下拉选项
foreach ($filenames as $filename) {
if ($filename != '.' && $filename != '..') {
echo '<option value="' . $filename . '">' . $filename . '</option>';
}
}
// 关闭下载表单
echo '</select>';
echo '<input type="submit" value="下载">';
echo '</form>';
// 处理文件下载
if (isset($_POST['name'])) {
$name = $_POST['name'];
$file = $filepath . $name;
// 检查文件是否存在
if (file_exists($file)) {
$filesize = filesize($file);
// 设置下载文件的相关头信息
header('Content-Type: application/octet-stream');
header('Content-Disposition: attachment; filename="' . $name . '"');
header('Content-Length: ' . $filesize);
// 读取文件内容并输出给用户
readfile($file);
exit;
} else {
echo '文件不存在!';
}
}
?>
</body>
</html>
文件下载漏洞
分析代码发现下载文件名由name决定,那么我们就可以尝试构造任意文件名,跳目录,造成任意文件下载
抓包
修改文件名,可以任意读取源代码,造成任意文件下载读取漏洞
扩展
文件类漏洞,还有如下漏洞类型,不一一举例,原理都差不多,如:
1、任意文件删除
2、任意文件写入
3、文件包含等等
WEB漏洞核心
1、可控变量
2、特定函数
留言板类(XSS漏洞)
需求
1、生成留言板功能
2、并写一个留言列表功能,可以看到留言人的姓名和内容
XSS漏洞
message.php
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>留言板</title>
</head>
<body>
<h1>留言板</h1>
<?php
// 处理留言提交
if (isset($_POST['submit'])) {
$name = $_POST['name'];
$message = $_POST['message'];
$timestamp = date('Y-m-d H:i:s');
// 将留言信息保存到文件
$file = 'messages.txt';
$data = $timestamp . ' - ' . $name . ': ' . $message . "\n";
file_put_contents($file, $data, FILE_APPEND);
}
?>
<form action="" method="POST">
<label for="name">姓名:</label>
<input type="text" name="name" id="name" required><br>
<label for="message">留言:</label>
<textarea name="message" id="message" rows="4" required></textarea><br>
<input type="submit" name="submit" value="提交留言">
</form>
<hr>
<h2>留言列表</h2>
<?php
// 读取留言列表
$file = 'messages.txt';
if (file_exists($file)) {
$messages = file($file);
// 显示留言列表
foreach ($messages as $message) {
echo $message . '<br>';
}
} else {
echo '暂无留言。';
}
?>
</body>
</html>
通过代码分析,发现留言的信息都存在message.txt 文件里,然后进行读取放到留言列表中,这里可能造成存储型XSS漏洞,那么我们试试构造JS语句,看是否被执行。
点击提交留言,发现存在xss漏洞,并存储在message.txt 文件里,每次刷新都会调用,说明存在存储型XSS漏洞
登录类
需求
1、生成登录页面
2、使用session或cookie进行验证
3、登录时使用验证码校验
4、必须使用‘user1’账号,才能登录管理员后台
login.php(cookie验证)
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录页面</title>
<link rel="stylesheet" type="text/css" href="../login.css">
</head>
<body>
<div class="container">
<h2>欢迎登录</h2>
<form action="login.php" method="POST">
<div class="form-group">
<label for="username">用户名:</label>
<input type="text" id="username" name="username" required>
</div> <div class="form-group">
<label for="password">密码:</label>
<input type="password" id="password" name="password" required>
</div> <div class="form-group">
<label for="captcha">验证码:</label>
<input type="text" id="captcha" name="captcha" required>
<img src="captcha.php" alt="验证码">
</div> <button type="submit" name="login">登录</button>
</form></div>
</body>
</html>
<?php
session_start();
include('../config/conn.php');
@$username = $_POST['username'];
@$password = $_POST['password'];
@$captcha = $_POST['captcha'];
// 验证验证码
if (isset($_POST['login'])) {
if (isset($_SESSION['captcha']) && strtolower($captcha) === strtolower($_SESSION['captcha'])) {
// 验证用户名和密码
$sql = "SELECT * FROM pass WHERE username = '$username' AND password = '$password'";
$result = mysqli_query($conn, $sql);
echo $sql;
/*
if (mysqli_num_rows($result)) { echo "登录成功";
header("location:../admin/admin_login.php"); // 验证成功跳转到后台页面
setcookie("username", $username, 0, '/'); // 设置cookie
} else { echo "用户名或密码错误";
} } else { echo "验证码错误";
}}
//
*/
//session验证
while (@$row = mysqli_fetch_array(@$result)) {//成功登录后
$_SESSION['username'] = $row['username'];//将查询结果的数据进行赋值
header("location:../admin/admin_login.php");//验证成功跳转到后台页面
}
}
}
?>
admin_login.php(登录校验)
<?php
include ("../config/login_check.php"); //cookie验证
/*
session验证
header("Content-type:text/html;charset=utf-8");//编码
session_start();
if (@$_SESSION['username']=='user1'){
echo '登录成功,这里是管理员后台';
}else{
echo '非法访问';
}
?>
*/
?>
login_check.php (cookie验证)
<?php
//1、先验证登录,才进行代码操作
//2、cookie验证
//3、session验证
header("Content-type:text/html;charset=utf-8");//编码
@$username = $_COOKIE['username'];//接受cookie
if ($username == 'user1') {//只有当用户名为'user1'时才能登录到管理员后台
echo '登录成功,这里是后台管理界面';
} elseif ($username != '') {//其他用户验证成功
echo '登录成功';
} else {
echo "非法访问";
}
?>
captcha.php 验证码
<?php
session_start();
// 生成随机验证码
$length = 4; // 验证码长度
$characters = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'; // 验证码字符集
$captcha = '';
for ($i = 0; $i < $length; $i++) {
$captcha .= $characters[rand(0, strlen($characters) - 1)];
}
// 存储验证码到 Session$_SESSION['captcha'] = $captcha;
// 创建验证码图片
$imageWidth = 110;
$imageHeight = 80;
$image = imagecreatetruecolor($imageWidth, $imageHeight);
$backgroundColor = imagecolorallocate($image, 255, 255, 255);
$textColor = imagecolorallocate($image, 0, 0, 0);
// 填充背景色
imagefilledrectangle($image, 0, 0, $imageWidth, $imageHeight, $backgroundColor);
// 绘制验证码文本
$textX = ($imageWidth - 50) / 2;
$textY = $imageHeight / 2 + 10;
imagestring($image, 5, $textX, $textY, $captcha, $textColor);
// 输出验证码图片
header('Content-Type: image/png');
imagepng($image);
imagedestroy($image);
?>
验证是否符合需求
user1 管理登录后台
其他用户登录,不前往管理员后台
cookie伪造漏洞
通过代码分析,后端校验用户为 user1 即可登录到管理员后台
修改cookie为 user1,刷新即可登录到管理元后台
万能密码登录
通过代码审计发现对数据库做校验的时候,出现了一些问题,如下:
$sql = "SELECT * FROM pass WHERE username = '$username' AND password = '$password'";
把 $username 替换成 如下:
SELECT * FROM pass WHERE username = '1' or 1=1 -- ' AND password = '$password'
这样就形成了,万能密码登录