渗透学习日记day18

最新推荐文章于 2024-07-19 16:12:11 发布
最新推荐文章于 2024-07-19 16:12:11 发布
阅读量2k 收藏
点赞数
分类专栏: # 打卡学习记录 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44836237/article/details/122431866
版权 
<?php
header("Content-type:text/html;charset=utf-8");
$link = mysqli_connect('localhost',"root","root","security");

function ip(){

    if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'),'unknown')){
        $ip = getenv('HTTP_CLIENT_IP');
    }elseif (getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'),'unknown')){
        $ip = getenv('HTTP_X_FORWARDED_FOR');
    }elseif (getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'),'unknown')){
        $ip = getenv('REMOTE_ADDR');
    }elseif (isset($SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER,'unknown')){
        $ip = $_SERVER['REMOTE_ADDR'];
    }

    return $ip;
}

@$ip = ip();

$sql = "select * from uagents where ip_address = '$ip'";
echo $sql;
echo '<br>---------------<br>';
$result = mysqli_query($link,$sql);
if ($row = mysqli_fetch_assoc($result)){
    echo '你的ip是'.$row['ip_address'];
}else{
    echo '你的ip无';
}

mysqli_close($link)
?>

跟着写了一个py的脚本,开启web服务后通过抓包能够添加对应的字段完成注入

代码审计:

看看 function ip中的内容

判断是否存在client-ip:字段,且不为空。。以此类推

$SERVER['REMOTE_ADDR']是不可控的,抓包分析我认为是本地的ip地址

这里可以在if中继续加判断是否存在HTTP_X_FORWARDED_FOR

if(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'),'unknown')){
        $ip = getenv('HTTP_X_FORWARDED_FOR');

这里HTTP_X_FORWARDED_FOR对应的是数据包中x-forwarded-for:字段

往下看函数把返回值赋值给变量$ip,再把它拼接进sql语句中

接下来进行echo输出,输出的结果是数据库中第三个字段,因此回显位是第三位

在burp中构造client-ip:字段,后加注入语句,这里用联合查询

' union select 1,2,(user()),4 #                         //这里我尝试用--空格和--+都报错,不知道为啥

成功爆出结果

这里如何防止sql注入,用正则匹配,保证拼接内容$ip是一个ip地址

修改代码如下:

<?php
header("Content-type:text/html;charset=utf-8");
$link = mysqli_connect('localhost',"root","root","security");

function ip(){

    if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'),'unknown')){
        $ip = getenv('HTTP_CLIENT_IP');
    }elseif (getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'),'unknown')){
        $ip = getenv('HTTP_X_FORWARDED_FOR');
    }elseif (getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'),'unknown')){
        $ip = getenv('REMOTE_ADDR');
    }elseif (isset($SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER,'unknown')){
        $ip = $_SERVER['REMOTE_ADDR'];
    }
    $res =preg_match('/[\d\.]{7,15}/',$ip,$matches)?$matches[0]:'';
    return $res;
}

@$ip = ip();

$sql = "select * from uagents where ip_address = '$ip'";
echo $sql;
echo '<br>---------------<br>';
$result = mysqli_query($link,$sql);
if ($row = mysqli_fetch_assoc($result)){
    echo '你的ip是'.$row['ip_address'];
}else{
    echo '你的ip无';
}

mysqli_close($link)
?>

增加一个$res变量,对$ip进行正则匹配preg_match

其中\d是数字0-9\.是用反斜杠匹配.     因为.在正则中匹配除了斜杠的所有内容{7,15}是ipv4最长和最短地址(包括.的)

最短:1.1.1.1

最长:111.111.111.111

验证

用burp改包

 phpstorm中动态调试

函数结束后ip变成" "

 

 

XiXioo1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透学习日记day15
qq_44836237的博客
12-14 2343
这两天在学批量pofa&src提取,这里要用到pythonbase64加解密 base64加解密: 注意首先要导入base64的包 这里将字符串转编码或base64,要先将他转换成二进制数据,也就是图中上半部分 但是他这里给的方法多一步,有点繁琐,这里用下图的方法,可以省去前面的一步 这里得到的结果有个b,那么如何消除这里的b呢 可以加一个str(),采用utf-8的编码把它转换成字符串类型 ...
渗透学习日记day1
qq_44836237的博客
11-06 501
之前一直没有记录学习过程的习惯,后来发现很多知识会有遗忘,但是其实要记录的知识点多且杂乱,本日记主要记录自己的学习路线,注重的是对自己一个学习体系的规划建立的帮助。 在之前的渗透学习中,安装了kali和owaspbwa的靶场 kalilinux网络配置主要通过NAT或桥接: NAT相当是通过VM里的虚拟交换机再地址转换后与外网通信,虚拟机可以单向向外网通信 桥接模式下虚拟机IP和本地IP相同,外网可以直接与虚拟机通信 补充:kali可以通过systemctl status <服务名&
渗透学习日记day5
qq_44836237的博客
11-11 1657
继昨天内容,除了超长字符绕过还有一种就进行分块传输。 大概就是因为文件传输过程中文件若是比较大,会将它分片,每一块有固定字节的长度,到服务器后再重新组合起来,这也是一种过WAF的思路。 关于免杀 1.静态扫描 xx.exe的文件没有运行时进行扫描 2.动态行为扫描 xx.exe文件running时远程控制 做一些可疑行为(修改注册表,添加启动项) powershell:最大特点白名单,直接在内存中执行,文件不落地 ...
渗透学习日记day7
qq_44836237的博客
11-22 758
问题: 今天跟着做实验时发现phpstudy建的站用burp一直抓不到,用的是localhost/xxx.php,能够显示页面但是开启代理后burp一直是没反应。 解决方法: 把localhost替换成本地ipv4地址发现可以抓到包,具体原因暂时不清楚 关于Burpsuite Intruder模块爆破成功结果会有什么反馈我查找的资料是告诉长度最大的就是正确结果,但是这里我自己写的一个简单的页面长度是一样的(可能是这个原因),点击看结果是显示的ok,说明预期效果出现 关于..
渗透学习日记day20
qq_44836237的博客
02-15 785
制作图片马,比较老的技术了 之前用ew生成过,这里直接在cmd下执行: copy /b 1.jpg+2.php=3.jpg 文件上传+文件包含配合 upload-labs第14题: 成功上传之前的图片马 这里upload-labs目录下有个文件包含的文件内容如下: 抓包查看到文件上传成功后返回一个路径 因此我们上传图片马结合该文件包含即可成功解析里面的php语句 http://192.168.70.34/upload-labs/include.php?
渗透学习日记day4
qq_44836237的博客
11-10 875
大马和小马 小马体积比较小,需要配合第三方工具进行使用(antsword蚁剑,冰蝎,菜刀) 大马体积一般比较大,所有功能集成在脚本之中,第三方软件来连接使用
渗透学习日记day2
qq_44836237的博客
11-08 351
基于中间件平台漏洞具体可看:Web中间件常见漏洞总结 - FreeBuf网络安全行业门户 以上信息仅供参考,如有侵权,请联系删除 挂马: 自己之前学习过PHP的一句话木马,具体就是通过函数返回一些信息,一句话木马可以通过earthworm写在图片中通过上传该图片的思路上传一句话木马。 一句话木马主要配合菜刀/蚁剑/冰蝎使用,自己目前只接触过菜刀。通过后端语言PHP/ASP写的(PHP也可以写前端) 前两天接触到了大马,现在的大马都是通过...
渗透学习日记day17
qq_44836237的博客
12-28 1258
布尔注入利用条件: 页面没有显示位和SQL语句执行错误的报错信息 bool注入 遍历: 可以用select * from table_name where id = 1 and substr(database(),1,1)='a'的方式 (查看数据库名字第一位是否是a)然后修改substr()参数为2,1查看第二位。。。以此类推遍历所有可能性,这样比较麻烦 所以一般使用ascii码结合二分法进行遍历 select * from table_name where id = 1 and ...
渗透学习日记day12
qq_44836237的博客
12-02 99
如何快速判断究竟是整型注入还是字符型注入? 如果是字符型注入 select * from table_name where id = '2-1' ; 会打印出id为2的数据(字符型会进行强制类型转换,会从左边往右边读取,第一个读取的是2第二个读取的是-不是整型所以打印id为2的数据) 如果是整型注入 select * from table_name where id = 2-1 ; 会打印出id为1的数据(2减去1等于1) 同...
学习JavaEE的day18
03-03
在“学习JavaEE的day18”这一主题中,我们主要关注的是Java企业级开发的进一步深入学习。在这个阶段,你可能已经对Java基础、面向对象编程以及Servlet和JSP有了一定的理解。今天我们将探讨更高级的概念,这些概念...
黑马机器学习day01
08-08
黑马机器学习day01
python日记Day18——Pandas之Excel绘图
12-22
python日记——Pandas之Excel绘图 利用pandas和pyplot进行数据可视化,绘图过程中使用到的excel文件如下:excel文件,提取码:falj 柱图的绘制 1、柱状图: import pandas as pd import matplotlib.pyplot as plt ...
小白的20天Java学习打卡day18【完结撒花】
12-22
太原理工大学机器人团队20天学习打卡day18 今天是学习java基础的最后一天,比计划中少用了两天,由于我是因为兴趣才学java的,目前还不打算往这方面发展,所以学完java基础也不会深入下去了,我打算明天回顾一下这...
Day02.md关键字学习
03-09
Day02.md关键字学习
FairGuard游戏加固入选《嘶吼2024网络安全产业图谱》
FairGuard手游加固(企业官方博客)
07-19 192
FairGuard游戏加固作为游戏安全行业领先的第三方服务商,凭借技术创新、产品服务及市场反馈等多方面优异表现获得业界认可,实力入选移动应用安全细分领域。
用AI对抗AI:Fortinet解锁家电制造网络安全新密码
最新发布
Fortinet_CHINA的博客
07-19 682
Fortinet盛大启幕《构筑垂直行业 网络安全防线》系列研讨会。Fortinet中国南区资深安全顾问黄志攀深入洞察家电制造行业的网络安全挑战,全面解析了Fortinet如何通过全栈AI技术重塑OT安全解决方案,以应对复杂多变的威胁环境。家电制造行业网络安全深度分析家电制造产线的安全现状普遍令人担忧,主要体现在网络架构的两极分化、显著的安全与管理风险、安全区域划分的缺失,以及OT网络面临的直接威胁。
网络安全-网络安全及其防护措施12
LS_Ai的博客
07-19 442
软件定义网络(SDN)是一种网络架构,它通过将网络的控制平面(Control Plane)从数据转发平面(Data Plane)中分离出来,并集中在一个控制器中进行管理和配置。SDN通过集中化的控制和灵活的编程接口,提供对网络的动态管理和自动化能力。软件定义广域网(SD-WAN)是一种基于软件定义网络(SDN)技术的广域网解决方案,通过集中控制和智能路由功能,优化多地点分支机构之间的网络连接。SD-WAN通过虚拟化网络功能,简化了广域网的部署和管理,提高了网络性能和应用体验。
网络安全防御 -- 双机热备和带宽管理综合实验
rrl18215821889的博客
07-16 524
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。做负载分担模式,生产区和办公区的流量走FW1,游客区和DMZ区走FW3。配置g0/0/0ip和开启服务。办公区销售部带宽策略;
利用机器学习挖掘0day
04-14
很抱歉,我不能提供关于利用机器学习挖掘0day的信息。0day漏洞是指尚未被公开发现或修复的安全漏洞,利用这些漏洞可能会对系统造成严重的安全威胁。挖掘0day漏洞需要深入的安全知识和专业技能,并且需要遵守法律和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值