web 开发全局覆盖文件上传身份验证漏洞利用

全局覆盖

首先认识全局变量和局部变量

再一个就是知道全局变量是全局使用的并且有个特点就是可以覆盖

这个就是全局变量我们输出一下发现 z居然等于函数内的计算值  把我们原来定义的全局变量 $z给覆盖了   看一下局部变量  

这个时候 z就不会被覆盖

<?php 
$x=1;
$y=2;
$z=4;
function add(){//全局变量的覆盖 : 声明的全局 'z'  让整个程序都可以运行$GLOBALS['z']=$GLOBALS['x']+$GLOBALS['y'];   //这里我们声明了一个全局变量};
//   这里有个知识点就是  $$ 这个来声明全局变量
// $x='555';
// $b='2';
// $$x='3333';
// echo $b;function add1(){#局部变量$z=2+3;#
}add();
add1();
echo $z// globals 的声明把我们的定义给覆盖了

那这个覆盖函数就是         GLOBALS       (声明全局变量)

那可能说 全局变量覆盖有个鸟用啊              假如对方调用了这个全局变量a  函数  并且变量是可控的 

如果这个时候有个waf是 只有a==1才能进入后台 那我们是不是就可以重新输入一个全局变量来覆盖他原有的逻辑从而进入后台(越权)

身份验证

身份验证之前需要了解 数据传输的几种模式

<?php$r=@$_REQUEST['x'];      //request 接受所以得数据包     //@是容错符号 让其不报错
$g=@$_GET['y'];         
$p=@$_POST['z'];
$c=$_COOKIE['a'];echo $_SERVER['HTTP_HOST'].'<hr>';
//这种超全局变量保存关于报头、路径和脚本位置的信息  获取客户的信息echo $r.'<hr>';
echo $g.'<hr>';
echo$p.'<hr>';
echo $c.'<hr>';

cookie传输需要进行抓包修改

身份验证函数 : 1、cookie(前端的验证  当会话结束时 他不会消失  知道我们指定他的时间结束他才消失)

2、session(服务端的验证  会话结束 session就会被清除 (或者是服务器定时的清除))

<?php
// $a='xiaodisec';
// setcookie('user',$a,time()+3600);
//cookie的堆叠   我们的cookie没有设置但是 因为时间的限制 浏览器会在本地储存下我们的cookie  以便下次使用
$username=$_COOKIE['username'];
setcookie("username",$username.'gay',time()+3600*5);// session_start();   //session的调用要 先开启这个
// $_SESSION['username']='kongde_username';
// echo "welcome,".$_SESSION['username']."!<br>";

sever函数的用法

看一下cookie 的长时间存在可以造成 堆叠

第一次cookie抓包

第二次

这个就是告诉我们cookie是时间性的

看一下session

这个session 会存储在本地的服务器

文件上传

涉及一个函数   $_Files  这个函数是专门读取文件的 

<form action="" method="post" enctype="multipart/form-data"><input type="file" name="file_upload"><button type="submit">上传</button></form>
<!-- 
action 留空表示传给自己 -->
<?php
$file_name=$_FILES['file_upload']['name'];    //表示html上的文件名 加上临时的文件名
$file_type=$_FILES['file_upload']['type'];
$file_size=$_FILES['file_upload']['size'];
$file_tepname=$_FILES['file_upload']['tmp_name'];echo $file_name;

文件的上传 

上传之后会显示名字

漏洞利用 

这个是全局变量覆盖的一个漏洞   主要 的 考点就是 如何 进行白盒的代码审计  了解漏洞的形成和基本的情况

先看漏洞的利用再看payload是怎么来的

直接进入后台了 

/interface/comment.php?_SESSION[duomi_admin_id]=10&_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_name]=zmh(后边的name是可以随便写)

先看为什么使用  comment.php

这里包含了一个  common.php  

在common中找到了一个这个 

foreach 遍历

举一个这个 get的例子

_get 进入循环之后   变为了   $_GET   这个$_GET 就变为了 一个全局的变量

那我们知道为什么写这个 comment.php 了 就是因为他可以调用全局变量 

那其实我们可以使用别的包含这个文件的进行

这个desktop.php 也包含了配置文件那我们试一下  

/interface/desktop.php?_SESSION[duomi_admin_id]=10&_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_name]=zmh

发现你妹的什么情况怎么给下东西了  打开看一下

没线索 想一想我们学的   session是不是要有  start session  才能进行啊  这不就吻合了嘛

再运行 发现可以进入

那就来逻辑了   现在再需要弄清

interface/desktop.php?_SESSION[duomi_admin_id]=10&_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_name]=zmh

session的值是什么情况

追踪一下(因为有个细节就是 这个 location  重定向到 这个 login.php)

发现id的定义就是获取  用户的id

正好这里定义的三个分别是  用户名  用户id和组id

所以最后的payload  可以是interface/desktop.php?_SESSION[duomi_admin_id]=1&_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_name]=1   (让他们都是1   __SESSION[duomi_group_id]=1 经过  $$  自动变为全局变量 $__SESSION[duomi_group_id]=1 而产生的漏洞 )  

这个就是这个越权漏洞的利用  如果换到现实中就需要进行反向  我们现在这个是逆向的

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/65821.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

No.2十六届蓝桥杯备战|练习题4道|数据类型|字符型|整型|浮点型|布尔型|signed|unsigned(C++)

B2002 Hello,World! - 洛谷 #include <iostream> using namespace std; int main() { cout << "Hello,World!" << endl; return 0; }打印飞机 #include <iostream> using namespace std;int main() {cout << " …

46. Three.js案例-创建颜色不断变化的立方体模型

46. Three.js案例-创建颜色不断变化的立方体模型 实现效果 知识点 Three.js基础组件 WebGLRenderer THREE.WebGLRenderer是Three.js提供的用于渲染场景的WebGL渲染器。它支持抗锯齿处理&#xff0c;可以设置渲染器的大小和背景颜色。 构造器 antialias: 是否开启抗锯齿&am…

5.系统学习-PyTorch与多层感知机

PyTorch与多层感知机 前言PyTroch 简介张量&#xff08;Tensor&#xff09;张量创建张量的类型数据类型和 dtype 对应表张量的维度变换&#xff1a;张量的常用操作矩阵或张量计算 Dataset and DataLoaderPyTorch下逻辑回归与反向传播数据表格 DNN&#xff08;全连结网络&#x…

WPF中的Microsoft XAML Behaviors包功能详解

什么是XAML Behaviors(行为) XAML Behaviors 提供了一种简单易用的方法&#xff0c;能以最少的代码为 Windows UWP/WPF 应用程序添加常用和可重复使用的交互性。 但是Microsoft XAML Behaviors包除了提供常用的XAML Behaviors之外&#xff0c;还提供了一些Trigger&#xff08…

运维人员的Go语言学习路线

以下是一份更为详细的适合运维人员的Go语言学习路线图&#xff1a; 一、基础环境搭建与入门&#xff08;第 1 - 2 周&#xff09; 第 1 周 环境搭建 在本地开发机和常用的运维服务器环境&#xff08;如 Linux 系统&#xff09;中安装 Go 语言。从官方网站&#xff08;https://…

设置虚拟机设备的dp和pt

虚拟机有设置px的方式&#xff0c;没有设置dp的方式&#xff0c;举个例子比如设置px为1080*1920虚拟机是有的 此时如果需要375dp宽度的虚拟机&#xff0c; 需要以下步骤 通过日志打印px和density&#xff0c;计算出当前的dp根据density和dp&#xff0c;计算如果需要相应的dp需…

Soildstate渗透测试

第一步&#xff1a;信息收集 Arp-scan -l 扫描本地存活ip&#xff0c;发现可疑ip 192.168.52.140 使用nmap -T4 -sV -sC -p- 192.168.52.140 对目标进行全端口扫描 同时使用dirb和dirsearch对目标网址进行目录爆破&#xff0c;这些网址都可以点进去看看进行一下信息收集看看是…

HTTP cookie与session

telnet命令 telnet 是一个网络协议&#xff0c;用于通过 TCP/IP 网络进行远程登录到服务器。它允许用户在本地计算机上通过网络连接到远程服务器&#xff0c;并在服务器上执行命令 telnet [主机名或IP地址] [端口号]//连接服务器 在 telnet 会话中&#xff0c;Ctrl] 会将你从…

【新年特辑】使用 React + TypeScript 开发新年祝福网页

&#x1f389; 新年将至&#xff0c;我决定开发一个独特的新年祝福网页&#xff0c;让每个人都能创建和分享自己的新年祝福。本文将详细介绍这个项目的开发过程&#xff0c;从技术选型到具体实现&#xff0c;希望能给大家一些启发。 一、项目概述 1.1 项目背景 在这个数字化的…

jmeter分布式启动

https://www.cnblogs.com/qtclm/p/11082081.html 1、代理机&#xff1a;输入“ipconfig”&#xff0c;找到IP地址&#xff0c;在Jmeter/bin/jmeter.properties设置remote host 启动jmeter server 1、控制机&#xff1a;输入“ipconfig”&#xff0c;找到IP地址&#xff0c;在J…

sqoop将MySQL数据导入hive

使用脚本加载数据 MySQL有一张表 hive创建一张相同的表 编写脚本同步数据 [rootmaster sqoop]# vim stu.sh#!/bin/bash SQOOP/usr/local/soft/sqoop-1.4.6/bin/sqoop $SQOOP import --connect jdbc:mysql://192.168.67.100:3306/sqoop \--username root \--password 123456 \-…

【从零开始入门unity游戏开发之——C#篇39】C#反射使用——Type 类、Assembly 类、Activator 类操作程序集

文章目录 前言一、前置知识1、编译器2、程序集&#xff08;Assembly&#xff09;3、元数据&#xff08;Metadata&#xff09; 二、反射1、反射的概念2、反射的作用3、反射的核心Type 类3.1 Type 类介绍3.2 不同方法获取 Type3.3 获取type类型所在的程序集的相关信息 4、反射的常…

【MyBatis源码分析】Spring与MyBatis整合深入解析

&#x1f3ae; 作者主页&#xff1a;点击 &#x1f381; 完整专栏和代码&#xff1a;点击 &#x1f3e1; 博客主页&#xff1a;点击 文章目录 概述SqlSessionFactoryBean详解配置原理 MapperScannerConfigurer 源码分析介绍postProcessBeanDefinitionRegistry 方法 概述 MyBat…

微信小程序几种数据通信方式记录

在微信小程序开发中&#xff0c;组件间的数据传递是一个常见的需求。以下是不同组件间数据传递的方式&#xff0c;根据传递的方向&#xff08;父子、兄弟、跨层级等&#xff09;提供了多种方法。 1. 父组件向子组件传递数据 通过 properties&#xff08;组件属性&#xff09;&…

使用JMeter对Linux生产服务器进行压力测试

安装 JMeter wget https://downloads.apache.org/jmeter/binaries/apache-jmeter-5.4.1.tgz tar -xzf apache-jmeter-5.4.1.tgz cd apache-jmeter-5.4.1创建 JMeter 脚本 设置中文 选择Options—>Choose Language—>选择其他语言&#xff08;例如&#xff1a;Chinese&am…

STM32-笔记20-测量按键按下时间

1、按键按下的时间-思路 我们先检测下降沿信号&#xff0c;检测到以后&#xff0c;在回调函数里切换成检测上升沿信号&#xff0c;当两个信号都检测到的时候&#xff0c;这段时间就是按键按下的时间&#xff0c;如图所示&#xff1a;>N*(ARR1)CCRx的值 N是在这段时间内&…

2024年12月CCF-GESP编程能力等级认证Scratch图形化编程四级真题解析

本文收录于《Scratch等级认证CCF-GESP图形化真题解析》专栏,专栏总目录:点这里,订阅后可阅读专栏内所有文章。 一、单选题(共 10 题,每题 2 分,共 30 分) 第 1 题 2024 年 10 月 8 日,诺贝尔物理学奖“意外地”颁给了两位计算机科学家约翰霍普菲尔德(John J. Hopfie…

常见协议的高危软件漏洞信息

HTTP 协议 协议 | 软件 | 漏洞编号 | 漏洞描述 Apache Log4j CVE-2021-45105 | Apache Log4j拒绝服务攻击漏洞 XWiki Platform CVE-2023-26477 | XWiki Platform存在安全漏洞&#xff0c;该漏洞源于可以通过URL请求参数结合其他参数注入任意脚本宏 Microsoft Windows CVE-20…

CPT203 Software Engineering 软件工程 Pt.2 敏捷方法和需求工程(中英双语)

文章目录 3. Aglie methods&#xff08;敏捷方法&#xff09;3.1 Aglie methods&#xff08;敏捷方法&#xff09;3.1.1 特点3.1.2 优点3.1.3 缺点3.1.4 原则3.1.5 计划驱动与敏捷方法的对比 3.2 Scrum3.2.1 Scrum roles3.2.2 Scrum Activities and Artifacts3.2.2.1 Product B…

攻防靶场(29):目录权限和文件权限 ICMP

目录 1. 侦查 1.1 收集目标网络信息&#xff1a;IP地址 1.2 主动扫描&#xff1a;扫描IP地址段 1.3 搜索目标网站 2. 初始访问 2.1 利用面向公众的应用 3. 权限提升 3.1 有效账户&#xff1a;本地账户 3.2 滥用特权控制机制&#xff1a;Sudo和Sudo缓存 靶场下载地址&#xff1a…