随笔分类 - PHP语言学习
摘要:0x01 框架路由和底层过滤 路由: 入口: index.php,api.php,admin.php init.php 2804行,新建app对象,实例化的PHPOK的主类app = new _init_phpok(); include_once($app->dir_phpok."phpok_
阅读全文
摘要:0x01 漏洞代码 install.php: <?php $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho_config'))); Typecho_Cookie::delete('__typecho_config')
阅读全文
摘要:今晚有空 以后随缘写博客了 好好沉淀 web1当天做出的队伍很少 其实不难 折腾到最后就差一步 可惜 0x01 读取文件 截图没留了 只留了代码部分。 有个页面 有上传和下载功能 起初以为是上传漏洞 发现上传后都会在后面加.jpg 且phpsessionid为文件名和目录 上传绕了很久 再看的时候是
阅读全文
摘要:很简单的一个代码 /ucenter/repass.php <?php include('../system/inc.php'); if(isset(SESSION[′username′]))header(′location:index.php′);;if(isset(_POST['
阅读全文
摘要:\inc\zzz_template.php public function parserIfLabel( zcontent ) {pattern = '/\{if:([\s\S]+?)}([\s\S]*?){end\s+if}/'; //{if:xxxx}xxx{end if} if ( pr
阅读全文
摘要:admin.php入口: language.php 传入的cont1参数 进入save_language($cont1) data\inc\functions.all.php# save_file: langpref的值对应的文件,用于控制网站的语言选择,会自动被全局php文件包含。可以包含上传功能
阅读全文
摘要:admin.php 入口: 后台action=editpage,此时包含进data/inc/editpage.php可以进行文章编辑: editpage.php# save file写入php文件: 对post传递的title和content等参数直接调用save_page函数: sanitize函
阅读全文
摘要:apps\home\controller\ParserController.php #parserIfLabel 第一处if判断,我们可以在函数名和括号之间插入控制字符,如\x01 第二处判断: 可利用PHP无参数RCE绕过 当然这里还有白名单关键字的判断: // 解码条件字符串 $matches[
阅读全文
摘要:composer create-project yiisoft/yii2-app-basic app 搜索__destruct和__wakeup grep -A 10 -rn "__destruct" yii\db\BatchQueryResult: 这里调用了close,搜索close发现 yii
阅读全文
摘要:首先注册两个账号,账号A和账号B 然后用账号B购买一些商品,产生交易记录和订单号码 账号A : admin@qq.com 密码test 账号B : admin2@qq.com 密码test 账号A提交订单信息后 账号b可见 /Home/c/UserController.php: 查询数据的时候,并没
阅读全文
摘要:/A/c/PluginsController.php 中的frparam函数没有对传入的文件路径进行过滤, 未对目录进行限制导致的目录穿越漏洞 action_do函数: deldir函数的里面遍历目标文件下的所有文件最终会调用unlink功能进行删除 //先删除目录下的文件: $dh=opendir
阅读全文
摘要:变量覆盖一些基础记录: 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 ###漏洞函数: 可变变量extract()函数使用不当parsestr()函数使用不当importrequestvariables()使用不当1.
一个可变变量获取了一个普通变量的值作为这个可变变量的
阅读全文
摘要:modules/upload.inc.php: 获取后缀并判断: \phpdisk\includes\function\global.func.php: get_real_ext function get_real_ext(file_extension){ globalsettings; $f
阅读全文
摘要:\diy\module\member\controllers\Api.php # down_file() 函数中先获取获取POST参数url,然后验证用户权限、进行远程文件加载 list(size,ext, path)=explode(′|′,drauthcode(p['code'
阅读全文
摘要:\kkcms\admin\cms_login.php登录页面判断验证码: 以及生成验证码: \kkcms\system\verifycode.php: <?php session_start(); image=imagecreate(50,34);bcolor = imagecolora
阅读全文
摘要:运行环境: phpStorm 2018 PHP 5.45 nts VC9 Xdebug 2.4.1 0x01 PHP安装xdebug扩展 自己之前装一直没装起 原来是版本问题 下载地址:https://xdebug.org/download.php php.ini配置: [xdebug] zend_
阅读全文
摘要:Beescms_V4.0代码审计源于一场AWD线下比赛的漏洞源码 看了别的师傅的文章发现这个源码也非常简单 ,所以今晚简单审计过一遍。 0x01 预留后门 awd首先备份源码,然后下载下来查杀后门,很可能有隐藏后门,有的话直接拿这个后门开始第一轮刷分攻击。 D盾查杀可疑后门,如下; site/sit
阅读全文
摘要:测试环境 php 5.4.5 0x01 利用系统组件绕过 1.window com组件(php 5.4)(高版本扩展要自己添加) (COM组件它最早的设计意图是,跨语言实现程序组件的复用。) 测试: 彻底的解决方案是 直接删除System32目录下wshom.ocx文件 2.利用ImageMagic
阅读全文
摘要:有人分享了一个php大马(说是过waf),八成有后门,简单分析了一次 一共有三个变量,url、get、$un,首先对着几个变量ascii转成字符串,看看是什么,用echo输出即可。 就是个简单的基于base64加gzinflate加密 还原一下: 现在马子的路数很清楚了 通过远程下载主力代码 到
阅读全文
摘要:首先漏洞存在于app\system\message\web\message.class.php文件中,变量{_M[form][id]} 直接拼接在SQL语句中,且验证码检测函数是在SQL语句查询之后,这也就造成了我们可以无视验证码检测函数,进行SQL注入。具体问题函数代码如下: 这行中_M[fo
阅读全文
