摘要:
在留言页面 ../messageSub.php 发现在注册时发现第9行,往数据库插入语句时,将留言经过 clean_input($_POST['message'])函数进行了处理。 查看clean_input()函数: 很明显进行了转义 \能对单引号转义。但是\\就失去了作用。 进入数据库发现,入库 阅读全文
摘要:
首先在./user/edit.php中看见名字为 搜索关键字 username 找到 ../sys/config.php 在11行和12行直接把user 和 id 读出来直接赋值带入数据库 而且没有做任何的过滤 在23行$query = "UPDATE users SET user_name = ' 阅读全文
摘要:
在第5行发现 读取的文件后,将文件进行了输出。 所以猜测此处可能存在SSRF 和 任意文件读取 搜索关键变量$_SESSION['avatar'] 发现在登陆 和修改密码 读取了改变量,而上传的地方可以修改该变量 。 因为所有的$_SESSION['avatar']变量在发送数据包时都是加密的所以不 阅读全文
摘要:
在第一节发现了第8行可能存在漏洞,但是并没有利用成功。今天继续研究 再次审计发现这可以利用的有两种方法: 1.00截断 (仅限于php4.3以下版本) 2.php伪协议(phar 关于压缩包的协议) 在sys/lib.php中发现文件上传只对文件名的后缀进行了检验。因此感觉利用php伪协议 搜索和文 阅读全文
摘要:
在sys/libphp中 在代码段中发现服务器在$_SERVER["HTTP_CLIENT_IP"] 中获取了客户端的ip,然后搜索这个自定义的函数 get_client_ip()看获取iP后,有没有对ip进行过滤。直接将其 带入了数据库,并更新数据库! 在14行发现只是用sqlwaf()函数对获取 阅读全文
摘要:
Top 1 sql注入: 分类方法: 1是否有回显来分类 2.是否考虑闭合问题 没有回现的三种方式 3.按照数据库类型分类 4.注入类型 TOP 2 失效的访问控制列表: 1.注册后没有更新cookie 关闭浏览器,会话结束时没有销毁cookie 2.密码重置的时候,可以拿成功cokie修改任意密码 阅读全文
摘要:
首先贴出安装页面的代码: 判断是否存在安装过的 /sys/install.lock 文件,如果存在就跳到首页。但是并没有退出,下面的函数依然可以执行。 下面的函数判断了一些数据库存不存在,目录可不可写,组件是否支持等问题。 在110行发现,当发现数据库名存在时,直接exit()退出,不存在就创建数据 阅读全文