文章目录
- JS前端验证 - 文件上传
- 设计
- 浏览器禁用JS,前端绕过文件上传漏洞
- 验证漏洞
- Ajax 登录验证,状态回显,状态码
- 设计
- 修改返回包绕过登录验证
- 通过Ajax 传递数据进行购物验证
- 设计1
- 此漏洞也可以修改状态码绕过
持续更新中…
文章中代码资源已上传资源,如需要打包好的请点击PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie+购物逻辑漏洞的学习等等)
JS前端验证 - 文件上传
设计
文件上传 - 类型 - 过滤通过JavaScript进行文件后缀筛选验证,php代码进行接受文件存储
<form class="upload" method="post" enctype="multipart/form-data" action=""> <input class="uploadfile" type="file" name="upload" onchange="checkFileExt(this.value)"/><br/> <input class="sub" type="submit" name="submit" value="开始上传"/>
</form>
<script src="../JS/jquery-1.12.4.js"></script>
<script> //对文件上传的后缀名进行验证,符合要求的才能上传 //功能实现可以由PHP或者JS去实现 //两种去验证的区别:PHP 验证的代码看不到,只能黑盒测试(后端 服务端);JS验证的代码可以看到,白盒测试(前端 浏览器) function checkFileExt(filename) {//检测文件后缀,传入参数叫filename var flag = false;//状态 var arr = ["jpg", "png", "gif"];//声明一个数组 //取出上传文件的扩展名 //111.1.jpg index=111.1 ext=jpg var index = filename.lastIndexOf("."); var ext = filename.substring(index + 1); //比较 for (var i = 0; i < arr.length; i++) { if (ext == arr[i]) { flag = true;//一旦找到一样的,立即退出循环 alert("上传的文件符合要求!"); break; } } if (!flag) { alert("上传的文件不符合要求,请重新选择!"); event.target.value = ''; // 清空文件输入 event.preventDefault(); // 阻止表单提交 location.reload(); // 重新加载页面 } }
</script>
<?php
header("Content-Type: text/html; charset=UTF-8"); if ($_SERVER['REQUEST_METHOD'] === 'POST') { // 获取文件名 $name = $_FILES['upload']['name']; // 获取上传文件的临时文件名 $tmp_name = $_FILES['upload']['tmp_name']; // 移动文件到上传目录 if (move_uploaded_file($tmp_name, "../upload/upload/" . $name)) { echo '文件存储在:' . "../upload/upload/" . $name; } else { echo '上传失败!'; }
}
?>
浏览器禁用JS,前端绕过文件上传漏洞
如何判断网站是否使用JS前端验证
1、右键源代码,js代码是可以在前端源代码中显示的
2、返回时间,回显时间
验证漏洞
正常如果要上传一个php一句话木马,是上传不上去的,会提示不符合文件类型
我们可以通过,禁用浏览器的JavaScript选项来进行绕过
漏洞利用成功
Ajax 登录验证,状态回显,状态码
设计
通过Ajax传递数据进行用户登录验证
login.html
<!DOCTYPE html>
<html lang="en">
<head> <meta charset="UTF-8"> <title>后台登录</title> <style> body { background-color: #f1f1f1; } .login { width: 400px; margin: 100px auto; background-color: #fff; border-radius: 5px; box-shadow: 0 0 10px rgba(0,0,0,0.3); padding: 30px; } .login h2 { text-align: center; font-size: 2em; margin-bottom: 30px; } .login label { display: block; margin-bottom: 20px; font-size: 1.2em; } .login input[type="text"], .login input[type="password"] { width: 100%; padding: 10px; border: 1px solid #ccc; border-radius: 5px; font-size: 1.2em; margin-bottom: 20px; } .login input[type="submit"] { background-color: #2ecc71; color: #fff; border: none; padding: 10px 20px; border-radius: 5px; font-size: 1.2em; cursor: pointer; } .login input[type="submit"]:hover { background-color: #27ae60; } </style>
</head>
<body>
<div class="login"> <h2>后台登录</h2> <label for="username">用户名:</label> <input type="text" name="username" id="username" class="user" > <label for="password">密码:</label> <input type="password" name="password" id="password" class="pass" > <button>登录</button>
</div>
<script src="../JS/jquery-1.12.4.js"></script>
<script> $('button').click(function () { //如果这里有个点击事件,会触发一个函数 $.ajax({ type: 'POST',//以什么方式是发送这个数据 url: 'ajax.php',//发送到哪里 dataType: 'json',//发送的数据类型为json data: { myName: $('.user').val(),//发送的数据 键值是表单class="user"> myPass: $('.pass').val(),//发送的数据 键值是表单class="pass"> }, success: function (res) { if(res.infocode == 1){ alert('成功登录'); }else { alert('登录失败'); } } }) }) </script>
</body>
</html>
ajax.php
<?php
$success = array('msg' => 'ok');//键值msg=ok
$username = $_POST['myName'];
$password = $_POST['myPass'];//接受html的变量
if ($username == 'user1' && $password == '123456') { $success['infocode']=1;//1表示成功登录
}else{ $success['infocode']=0;//0表示失败登录
} echo json_encode($success);
修改返回包绕过登录验证
通过代码分析,发现登录成功验证的逻辑是 infocode = 1 ,那么我们就可以通过修改返回数据包进行绕过。
通过Ajax 传递数据进行购物验证
设计1
商品价格以前端设置价格为准,数据接受价格后运算
shop.html
<!DOCTYPE html>
<html lang="en">
<head> <meta charset="UTF-8"> <title>商品购买</title>
</head>
<body>
<img src="iphone.jpg" width="270" height="270" alt=""><br>
金钱:10000<br>
商品价格:8888<br>
数量:<input type="text" name="number" class="number">
<button>购买</button>
</body>
</html> <script src="../JS/jquery-1.12.4.js"></script>
<script> $("button").click(function () { $.ajax({ type: 'POST', url: 'shop.php', data: { num: $('.number').val(), }, success: function (res) { console.log(res); if (res['infoCode'] == 1) { alert('购买成功'); //购买成功的流程 } else { alert('购买失败'); } }, dataType: 'json', }); });
</script>
shop.php
<?php $num = $_POST['num']; //真实情况需要在数据库获取
$success = array('msg' => 'ok');
if (10000>=($num*8888)) { $success['infoCode'] = 1;
} else { $success['infoCode'] = 0;
}
echo json_encode($success);
此漏洞也可以修改状态码绕过
