1. sql 注入
waf baypass
搜索 :
from(.*)= \$
2. xss
3. 文件包含
偽協(xié)議繞過(如果限制了路徑不能用偽協(xié)議和遠程文件包含,如果限制了路徑?jīng)]有限制后綴可以包含上傳的文件、日志文件孵坚、環(huán)境變量文件、sessions文件、臨時文件)
- phar://
-
zip://
捕獲.PNG
include($_GET['module'].'.inc');
// phar://path/file/xx(壓縮的文件 繞過來包含腳本附较。
利用步驟:
1. 一句話腳本.php
2. 后綴改成inc
3.壓縮文件
4. 改成.png
源代碼搜索:$_FILE(php處理上傳文件基本跟這個變量有關(guān))
php里strtotime()函數(shù)可以將時間信息轉(zhuǎn)換為時間戳。
防御:白名單
<? php
$m = array('about','xxx');
/* Include */
if (isset($_GET['module'])){
$a=$_GET['module']
if(in_array($a, $m))
include('./'.$_GET['module'].'.inc');
else
exit('include error');
4. 任意文件
這里user_avatar的值為2潦俺。多重設(shè)置拒课,取最后一個值為最終值。
UPDATE users SET user_avatar = '1',user_avatar='2' WHERE user_name = 'test'#.png
',user_avatar='2' WHERE user_name = 'test'#.png
溯源.PNG
5. 越權(quán)操作
未判斷id是當(dāng)前用戶還是其他用戶
刪除從Post處修改用戶信息的代碼事示,直接從sessionid獲取用戶id,這樣用戶就改不了了早像。
