从开发角度理解漏洞成因(02)

文章目录

  • 文件上传类
    • 需求
      • 文件上传漏洞
  • 文件下载类
    • 需求
      • 文件下载漏洞
    • 扩展
  • 留言板类(XSS漏洞)
    • 需求
      • XSS漏洞
  • 登录类
    • 需求
    • cookie伪造漏洞
    • 万能密码登录

持续更新中…

文章中代码资源已上传资源,如需要打包好的请点击PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie的学习等等)

文件上传类

需求

1、在博客文件中生成上传文件的功能
2、只允许上传jpg、jpeg、png文件格式

upload.php

<!DOCTYPE html>  
<html>  
<head>  <title>文件上传</title>  
</head>  
<body>  
<h2>文件上传</h2>  
<form action="" method="POST" enctype="multipart/form-data">  <input type="file" name="upload">  <input type="submit" value="上传">  
</form>  
</body>  
</html>  <?php  
header("Content-Type: text/html; charset=UTF-8"); //设置字符集  
//获取文件名字  
@$name = $_FILES['upload']['name'];  
//获取上传文件的类型  
@$type = $_FILES['upload']['type'];  
//获取上传文件的大小  
@$size = $_FILES['upload']['size'];  
//获取上传文件的错误代码  
@$error = $_FILES['upload']['error'];  
//获取上传文件的临时文件名  
@$tmp_name = $_FILES['upload']['tmp_name'];  echo @$name . "<br>";//打印  
echo @$type . "<br>";  
echo @$size . "<br>";  
echo @$error . "<br>";  
echo @$tmp_name . "<br>";  if ($type == "image/jpeg" || $type == "image/jpg" || $type == "image/png") {  if (!move_uploaded_file($tmp_name, 'upload/' . $name)) {  echo "文件移动失败";  } else {  echo '/upload/' . $name;  echo "文件上传成功";  }  
} else {  echo "文件类型不正确";  
}  
?>

文件上传漏洞

通过代码分析,做了文件类型的判断,只限于jpeg、png、jpg 三种类型进行上传,那么上传php一句话木马会提示文件类型不正确,并且在目录中未发现上传的文件

试想既然知道有限制,那么我们能不能抓包修改文件类型呢?

上传一个一句话木马文件,文件后缀 .php

<?php @eval($_POST['cmd']);?>

修改为: Content-Type:image/png,放包

发现上传成功并获取到了路径

进行漏洞利用

文件下载类

需求

1、创建一个文件下载的功能
2、在soft文件夹中提取所需要的东西
3、需要有选择框,以供选择

download.php

<!DOCTYPE html>  
<html lang="en">  
<head>  <meta charset="UTF-8">  <title>文件下载</title>  
</head>  
<body>  
<h1>直接下载</h1>  
<?php  
// 获取文件路径  
$filepath = '../soft/';  // 获取文件列表  
$filenames = scandir($filepath);  // 创建下载表单  
echo '<form action="" method="POST">';  
echo '需要下载的文件:<select name="name">';  // 生成文件下拉选项  
foreach ($filenames as $filename) {  if ($filename != '.' && $filename != '..') {  echo '<option value="' . $filename . '">' . $filename . '</option>';  }  
}  // 关闭下载表单  
echo '</select>';  
echo '<input type="submit" value="下载">';  
echo '</form>';  // 处理文件下载  
if (isset($_POST['name'])) {  $name = $_POST['name'];  $file = $filepath . $name;  // 检查文件是否存在  if (file_exists($file)) {  $filesize = filesize($file);  // 设置下载文件的相关头信息  header('Content-Type: application/octet-stream');  header('Content-Disposition: attachment; filename="' . $name . '"');  header('Content-Length: ' . $filesize);  // 读取文件内容并输出给用户  readfile($file);  exit;  } else {  echo '文件不存在!';  }  
}  
?>  
</body>  
</html>

文件下载漏洞

分析代码发现下载文件名由name决定,那么我们就可以尝试构造任意文件名,跳目录,造成任意文件下载

抓包

修改文件名,可以任意读取源代码,造成任意文件下载读取漏洞

扩展

文件类漏洞,还有如下漏洞类型,不一一举例,原理都差不多,如:
1、任意文件删除
2、任意文件写入
3、文件包含等等

WEB漏洞核心
1、可控变量
2、特定函数

留言板类(XSS漏洞)

需求

1、生成留言板功能
2、并写一个留言列表功能,可以看到留言人的姓名和内容

XSS漏洞

message.php

<!DOCTYPE html>  
<html lang="en">  
<head>  <meta charset="UTF-8">  <title>留言板</title>  
</head>  
<body>  
<h1>留言板</h1>  <?php  
// 处理留言提交  
if (isset($_POST['submit'])) {  $name = $_POST['name'];  $message = $_POST['message'];  $timestamp = date('Y-m-d H:i:s');  // 将留言信息保存到文件  $file = 'messages.txt';  $data = $timestamp . ' - ' . $name . ': ' . $message . "\n";  file_put_contents($file, $data, FILE_APPEND);  
}  
?>  <form action="" method="POST">  <label for="name">姓名:</label>  <input type="text" name="name" id="name" required><br>  <label for="message">留言:</label>  <textarea name="message" id="message" rows="4" required></textarea><br>  <input type="submit" name="submit" value="提交留言">  
</form>  <hr>  <h2>留言列表</h2>  <?php  
// 读取留言列表  
$file = 'messages.txt';  
if (file_exists($file)) {  $messages = file($file);  // 显示留言列表  foreach ($messages as $message) {  echo $message . '<br>';  }  
} else {  echo '暂无留言。';  
}  
?>  
</body>  
</html>

通过代码分析,发现留言的信息都存在message.txt 文件里,然后进行读取放到留言列表中,这里可能造成存储型XSS漏洞,那么我们试试构造JS语句,看是否被执行。

点击提交留言,发现存在xss漏洞,并存储在message.txt 文件里,每次刷新都会调用,说明存在存储型XSS漏洞

登录类

需求

1、生成登录页面
2、使用session或cookie进行验证
3、登录时使用验证码校验
4、必须使用‘user1’账号,才能登录管理员后台

login.php(cookie验证)

<!DOCTYPE html>  
<html lang="en">  
<head>  <meta charset="UTF-8">  <title>登录页面</title>  <link rel="stylesheet" type="text/css" href="../login.css">  
</head>  
<body>  
<div class="container">  <h2>欢迎登录</h2>  <form action="login.php" method="POST">  <div class="form-group">  <label for="username">用户名:</label>  <input type="text" id="username" name="username" required>  </div>        <div class="form-group">  <label for="password">密码:</label>  <input type="password" id="password" name="password" required>  </div>        <div class="form-group">  <label for="captcha">验证码:</label>  <input type="text" id="captcha" name="captcha" required>  <img src="captcha.php" alt="验证码">  </div>        <button type="submit" name="login">登录</button>  </form></div>  
</body>  
</html>  <?php  
session_start();  include('../config/conn.php');  @$username = $_POST['username'];  
@$password = $_POST['password'];  
@$captcha = $_POST['captcha'];  // 验证验证码  if (isset($_POST['login'])) {  if (isset($_SESSION['captcha']) && strtolower($captcha) === strtolower($_SESSION['captcha'])) {  // 验证用户名和密码  $sql = "SELECT * FROM pass WHERE username = '$username' AND password = '$password'";  $result = mysqli_query($conn, $sql);  echo $sql;  
/*  if (mysqli_num_rows($result)) {            echo "登录成功";  header("location:../admin/admin_login.php"); // 验证成功跳转到后台页面  setcookie("username", $username, 0, '/'); // 设置cookie  } else {            echo "用户名或密码错误";  }    } else {        echo "验证码错误";  }}  
//  
*/  
//session验证  while (@$row = mysqli_fetch_array(@$result)) {//成功登录后  $_SESSION['username'] = $row['username'];//将查询结果的数据进行赋值  header("location:../admin/admin_login.php");//验证成功跳转到后台页面  }  }  
}  ?>

admin_login.php(登录校验)

<?php  
include ("../config/login_check.php"); //cookie验证  /*  
session验证  
header("Content-type:text/html;charset=utf-8");//编码  
session_start();  
if (@$_SESSION['username']=='user1'){  echo '登录成功,这里是管理员后台';  
}else{  echo '非法访问';  
}  
?>  
*/  
?>

login_check.php (cookie验证)

<?php  
//1、先验证登录,才进行代码操作  
//2、cookie验证  
//3、session验证  
header("Content-type:text/html;charset=utf-8");//编码  
@$username = $_COOKIE['username'];//接受cookie  
if ($username == 'user1') {//只有当用户名为'user1'时才能登录到管理员后台  echo '登录成功,这里是后台管理界面';  
} elseif ($username != '') {//其他用户验证成功  echo '登录成功';  
} else {  echo "非法访问";  
}  
?>

captcha.php 验证码

<?php  
session_start();  // 生成随机验证码  
$length = 4; // 验证码长度  
$characters = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'; // 验证码字符集  
$captcha = '';  
for ($i = 0; $i < $length; $i++) {  $captcha .= $characters[rand(0, strlen($characters) - 1)];  
}  // 存储验证码到 Session$_SESSION['captcha'] = $captcha;  // 创建验证码图片  
$imageWidth = 110;  
$imageHeight = 80;  
$image = imagecreatetruecolor($imageWidth, $imageHeight);  
$backgroundColor = imagecolorallocate($image, 255, 255, 255);  
$textColor = imagecolorallocate($image, 0, 0, 0);  // 填充背景色  
imagefilledrectangle($image, 0, 0, $imageWidth, $imageHeight, $backgroundColor);  // 绘制验证码文本  
$textX = ($imageWidth - 50) / 2;  
$textY = $imageHeight / 2 + 10;  
imagestring($image, 5, $textX, $textY, $captcha, $textColor);  // 输出验证码图片  
header('Content-Type: image/png');  
imagepng($image);  
imagedestroy($image);  
?>

验证是否符合需求

user1 管理登录后台

其他用户登录,不前往管理员后台

cookie伪造漏洞

通过代码分析,后端校验用户为 user1 即可登录到管理员后台

修改cookie为 user1,刷新即可登录到管理元后台

万能密码登录

通过代码审计发现对数据库做校验的时候,出现了一些问题,如下:

$sql = "SELECT * FROM pass WHERE username = '$username' AND password = '$password'";

把 $username 替换成 如下:

SELECT * FROM pass WHERE username = '1' or 1=1 -- ' AND password = '$password'

这样就形成了,万能密码登录

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/9495.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

贝塞尔曲线 java

参考文章&#xff1a; 理解贝塞尔曲线https://blog.csdn.net/weixin_42301220/article/details/125167672 代码实现参考 https://blog.csdn.net/yinhun2012/article/details/118653732 贝塞尔 一二三阶java代码实现,N阶段可以通过降阶递归实现 public class Test extends JPan…

java选择结构语句

文章目录 Java选择结构语句的几种形式1. **if 单选择结构**:2. **if-else 双选择结构**:3. **if-else if 多选择结构**:4. **switch 选择结构**: Java 12及更高版本的Switch Expressions返回值的Switch表达式yield关键字使用Switch作为语句或表达式 Pattern Matching for insta…

Final Draft 12 for Mac:高效专业剧本创作软件

对于剧本创作者来说&#xff0c;一款高效、专业的写作工具是不可或缺的。Final Draft 12 for Mac就是这样一款完美的选择。这款专为Mac用户设计的剧本创作软件&#xff0c;凭借其卓越的性能和丰富的功能&#xff0c;让您的剧本创作更加得心应手。 Final Draft 12支持多种剧本格…

【C++】CentOS环境搭建-编译安装Boost库(附CMAKE编译文件)

【C】环境搭建-编译安装Boost库 Boost库简介Boost库安装通过YUM安装&#xff08;版本较低 V1.53.0&#xff09;通过编译安装&#xff08;官网最新版本1.85.0&#xff09;1.安装相关依赖2.查询官网下载最新安装包并解压3.编译Boost4.安装Boost库到系统路径 Boost库验证 Boost库简…

(22.12.20)matlab2022+yalmip+cplex安装教程,win11 x64

前言 Hi,你好&#xff01;最近刚刚更换新的电脑设备&#xff0c;安装软件时尽量选择最新版本&#xff0c;但也遇到了大大小小的安装问题&#xff0c;这里把踩到的坑一并总结出来&#xff0c;给出一份还算合理的MATLAByalmipCPLEX安装教程&#xff08;win11&#xff09;。 MAT…

从零入门激光SLAM(十三)——LeGo-LOAM源码超详细解析4

大家好呀&#xff0c;我是一个SLAM方向的在读博士&#xff0c;深知SLAM学习过程一路走来的坎坷&#xff0c;也十分感谢各位大佬的优质文章和源码。随着知识的越来越多&#xff0c;越来越细&#xff0c;我准备整理一个自己的激光SLAM学习笔记专栏&#xff0c;从0带大家快速上手激…

OBS插件--视频回放

视频回放 视频回放是一款源插件&#xff0c;它可以将指定源的视频缓存一段时间&#xff08;时间可以设定&#xff09;&#xff0c;将缓存中的视频添加到当前场景中后&#xff0c;可以快速或慢速不限次数的回放。这个功能在类似体育比赛的直播中非常有用&#xff0c;可以捕获指…

【快讯】山东省第四批软件产业高质量发展重点项目开始申报

为加快落实《山东省高端软件“铸魂”工程实施方案&#xff08;2023-2025&#xff09;》&#xff0c;提高软件产业规模能级&#xff0c;提升关键软件技术创新和供给能力&#xff0c;塑强数字经济发展核心竞争力&#xff0c;确定开展第四批软件产业高质量发展重点项目申报工作&am…

CTF-Web Exploitation(持续更新)

CTF-Web Exploitation 1. GET aHEAD Find the flag being held on this server to get ahead of the competition Hints Check out tools like Burpsuite to modify your requests and look at the responses 根据提示使用不同的请求方式得到response可能会得到结果 使用…

如何通过汽车制造供应商协同平台,提高供应链的效率与稳定性?

汽车制造供应商协同是指在汽车制造过程中&#xff0c;整车制造商与其零部件供应商之间建立的一种紧密合作的关系。这种协同关系旨在优化整个供应链的效率&#xff0c;降低成本&#xff0c;提高产品质量&#xff0c;加快创新速度&#xff0c;并最终提升整个汽车产业的竞争力。以…

面试笔记——JVM组成

基本介绍 JVM: Java Virtual Machine Java程序的运行环境&#xff08;java二进制字节码的运行环境&#xff09; 使用JVM的好处&#xff1a; 一次编写&#xff0c;到处运行自动内存管理&#xff0c;垃圾回收机制 JVM的组成及运行流程&#xff1a; 程序计数器 程序计数器&a…

Zabbix5.0——安装与部署

目录 一、zabbix-server(192.168.206.134) 监控方 1. 环境准备 2.安装zabbix 2.1 准备zabbix-repo 2.2清理缓存 2.3安装zabbix主包&#xff08;服务器和代理&#xff09; 2.4安装zabbix前端包 3. 数据库安装 3.1 授权zabbix账号 3.2导入数据库&#xff08;初始化zabbix&#x…

人工智能驱动的设计工具的兴起:彻底改变创意产业

人工智能驱动的设计工具的兴起&#xff1a;彻底改变创意产业 概述 人工智能 (AI) 正在改变创意产业&#xff0c;设计也不例外。人工智能驱动的设计工具正在彻底改变设计师的工作方式&#xff0c;提供无与伦比的效率、创造力和创新水平。从生成图像和设计到自动化日常任务&…

基于Opencv的车牌识别系统(毕业设计可用)

系统架构 图像采集&#xff1a;首先&#xff0c;通过摄像头等设备捕捉车辆图像。图像质量直接影响后续处理的准确性&#xff0c;因此高质量的图像采集是基础。 预处理&#xff1a;对获取的原始图像进行预处理&#xff0c;包括灰度化、降噪、对比度增强和边缘检测等。这些操作旨…

RS3236-3.3YF5 封装SOT-23-5 线性稳压器 带过温保护

RS3236-3.3YF5 是一款由Runic&#xff08;润石&#xff09;公司生产的线性稳压器&#xff08;LDO&#xff09;&#xff0c;以下是该器件的一些功能和参数介绍&#xff1a; 品牌: Runic 产品类型: 线性稳压器 (LDO) 输入电压范围: 最大 7.5V 输出电压: 固定 3.3V 输出电流: 最大…

基于FPGA的去雾算法

去雾算法的原理是基于图像去模糊的原理&#xff0c;通过对图像中的散射光进行估计和去除来消除图像中的雾霾效果。 去雾算法通常分为以下几个步骤&#xff1a; 1. 导引滤波&#xff1a;首先使用导引滤波器对图像进行滤波&#xff0c;目的是估计图像中散射光的强度。导引滤波器…

介绍适用于 Node.js 的 Elastic OpenTelemetry 发行版

作者&#xff1a;来自 Elastic Trent Mick 我们很高兴地宣布推出 Elastic OpenTelemetry Distribution for Node.js 的 alpha 版本。 该发行版是 OpenTelemetry Node.js SDK 的轻量级包装&#xff0c;可以让你更轻松地开始使用 OpenTelemetry 来观察 Node.js 应用程序。 背景 …

QT与Electron之争:谁能提供更好的用户体验?有一点QT完胜.

QT和Electron到底谁好&#xff0c;争论不休&#xff0c;各有各的道理&#xff0c;贝格前端工场总结了各方观点&#xff0c;做一个梳理。 在比较QT和Electron时&#xff0c;需要考虑到它们各自的特点和适用场景。 QT是一个C的跨平台应用程序开发框架&#xff0c; 而Electron是基…

2024第九届数维杯数学建模论文模板(内附LaTeX+Word)

一年一度的2024年第九届数维杯国赛报名进行中&#xff01;相信很多同学们已经摩拳擦掌蓄势待发了&#xff01; 经历三天比赛&#xff0c;最后提交的论文就是最终答卷&#xff0c;那么一篇数模论文&#xff0c;包括哪些内容呢&#xff1f; 一篇完整的数模论文&#xff0c;包括…

活字格中如何加入JavaScript的代码和事件以及如何调试

活字格&#xff1a; 如何加入JavaScript的代码和事件 1&#xff09;选中组件。 2&#xff09;编辑命令“按钮。 3&#xff09;选择JavaScript命令&#xff0c;并点亮五星。 4&#xff09;编写js代码&#xff0c;确定。 5&#xff09;运行。 如何查看js运行&#xff1a; …