利用hpp+php的特性进行巧妙的sql注入

最新推荐文章于 2024-08-29 17:53:13 发布
最新推荐文章于 2024-08-29 17:53:13 发布
阅读量118 收藏 1
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54347738/article/details/132643624
版权

一、

贷齐乐这个系统是安全问题比较严重的P2P金融类的CMS。由于连续出了多次安全漏洞,所以官方给贷齐乐系统中添加了严重影响正常使用的变态WAF。

1.waf1

/core/sqlin.inc.php,包含在config.inc.php中,所有请求都会经由此类过滤

class sqlin {
	function dowith_sql($str) {
		$check= eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $str);
		if($check)
			{
			echo "非法字符!";
			exit();
		}
		
		$newstr="";
		while($newstr!=$str){
		$newstr=$str;
        $str = str_replace("script", "", $str);
        $str = str_replace("execute", "", $str);
        $str = str_replace("update", "", $str);
        //$str = str_replace("count", "", $str);
        //注释掉对count的过滤,不然account这样的参数会被截断
        $str = str_replace("master", "", $str);
        $str = str_replace("truncate", "", $str);
        $str = str_replace("declare", "", $str);
        $str = str_replace("select", "", $str);
        $str = str_replace("create", "", $str);
        $str = str_replace("delete", "", $str);
        $str = str_replace("insert", "", $str);
        $str = str_replace("\'", "", $str);

		}
		return $str;
    }
	
//aticle()防SQL注入函数//php教程
    function sqlin() {
        foreach ($_GET as $key => $value) {
            if ($key != "content"&&strstr($key, "password") == false) {
                $_GET[$key] = $this->dowith_sql($value);
            }
        }
        foreach ($_POST as $key => $value) {
			//echo $key."|".(strpos($key, "password") == false);
			[email protected]_put_contents('wxy123123.txt', date('Ymd His') . '提交url拼接 '.$key."|".(strstr($key, "password") == false), FILE_APPEND);
            if ($key != "content"&&strstr($key, "password") == false) {
                $_POST[$key] = $this->dowith_sql($value);
            }
        }
		foreach ($_REQUEST as $key => $value) {
			//echo $key."|".(strpos($key, "password") == false);
            if ($key != "content"&&strstr($key, "password") == false) {
                $_REQUEST[$key] = $this->dowith_sql($value);
            }
        }
    }
}

GET/POST/REQUEST三个变量,都会经过这个正则:select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile

一旦遇到select,包括单引号,包括注释符,就立即exit整个流程。

第一道防线主要是在 dowith_sql函数中进行的。

(1)

        foreach ($_GET as $key => $value) {
            if ($key != "content"&&strstr($key, "password") == false) {
                $_GET[$key] = $this->dowith_sql($value);
            }
        }

调用了 dowith_sql函数,get传参所有的参数都进行循环,当key不等于content时(官方具有content功能),没有password时,就会把所有的value通过dowith_sql函数过滤。

例如此时传入?id=1',请求到后进行循环,此时value为1',将1'放入dowith_sql进行过滤(检测到单引号),非法字符,程序结束。

(2)

 foreach ($_POST as $key => $value) {
			//echo $key."|".(strpos($key, "password") == false);
			[email protected]_put_contents('wxy123123.txt', date('Ymd His') . '提交url拼接 '.$key."|".(strstr($key, "password") == false), FILE_APPEND);
            if ($key != "content"&&strstr($key, "password") == false) {
                $_POST[$key] = $this->dowith_sql($value);
            }
        }

post也进行了循环,将post值也进行了过滤,例如使用post提交uname=1',也会被过滤掉

(3)

foreach ($_REQUEST as $key => $value) {
			//echo $key."|".(strpos($key, "password") == false);
            if ($key != "content"&&strstr($key, "password") == false) {
                $_REQUEST[$key] = $this->dowith_sql($value);
            }
        }

 request同样进行循环并且过滤,request可以接受get、post、cookie这三种,若在cookie中传值也会被过滤掉。

(4)输入测试(index.php)

打开daiqile下db.inc.php文件并且将密码修改为自己的数据库密码(数据库名也该为自己的数据库):

由于这个漏洞较早,在phpstduy中更改php版本为5.4.45 (小皮中mysql和apache都要启动)

如下图,不显示报错即为成功登入:

这里就是由于如下代码所示(index.php),request接收到get传参,然后传入 dowith_sql函数中进行过滤。

2.waf2

/core/safe.inc.php 里面的过滤

/* 检查和转义字符 */
function safe_str($str){
    if(!get_magic_quotes_gpc()) {
        if( is_array($str) ) {
            foreach($str as $key => $value) {
                $str[$key] = safe_str($value);
            }
        }else{
            $str = addslashes($str);
        }
    }
    return $str;
}

function dhtmlspecialchars($string) {
    if(is_array($string)) {
        foreach($string as $key => $val) {
            $string[$key] = dhtmlspecialchars($val);
        }
    } else {
        $string = str_replace(array('&', '"', '<', '>','(',')'), array('&amp;', '&quot;', '&lt;', '&gt;','(',')'), $string);
        if(strpos($string, '&amp;#') !== false) {
            $string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
        }
    }
    return $string;
}

foreach ($_GET as $key => $value) {
    $_GET[$key] = safe_str($value);
    $_GET[$key] = dhtmlspecialchars($value);
}
foreach ($_POST as $key => $value) {
    $_POST[$key] = safe_str($value);
    $_GET[$key] = dhtmlspecialchars($value);
}
foreach ($_REQUEST as $key => $value) {
    $_REQUEST[$key] = safe_str($value);
    $_REQUEST[$key] = dhtmlspecialchars($value);
}
foreach ($_COOKIE as $key => $value) {
    $_COOKIE[$key] = safe_str($value);
    $_GET[$key] = dhtmlspecialchars($value);
}

GET/POST/REQUEST/COOKIE都会经过这个替换str_replace(array('&', '"', '<', '>','(',')'), array('&', '"', '<', '>','(',')'), $string),这个替换最明显的效果,就是所有的英文括号都变成中文括号,导致user(),database()等无法执行。

(1)

检查魔术开关get_magic_quotes_gpc,如果是数组,则通过safe_str循环过滤,不是数组则使用和addslashes函数过滤。

(2)

dhtmlspecialchars函数会将英文括号转译为中文括号,函数都会失效,还进行了进行单双引号转义。

单引号、select、union无法使用也就意味着报错注入不能使用。

(3)

使用safe_str和dhtmlspecialchars函数过滤get、post、request、cookie传参。

3.变量获取的逻辑顺序

index.php -> config.inc.php -> sqlin.php -> safe.inc.php

sqlin.php是对select、union、’等关键字的拦截。一旦发现存在这些关键字,就exit出整个执行流程。

safe.inc.php是替换一些敏感字符,比如<、>、(、)等。

第一个waf拦截关键字单双引号等,第二个waf转义括号。

(1)

在safe.inc.php里找到了如下一段代码(在替换之前):

$request_uri = explode("?", $_SERVER['REQUEST_URI']);
if (isset($request_uri[1])) {
	$rewrite_url = explode("&", $request_uri[1]);
	foreach ($rewrite_url as $key => $value) {
		$_value = explode("=", $value);
		if (isset($_value[1])) {
			$_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));
		}
	}
}

①先来分析第一行的代码,我们本地daileqi下创建demo.php并写入如下代码测试说明:

url地址栏传入如下数据:

添加如下一行代码展示SERVER接收的值:

下图可知接收的值为/daiqile/demo.php?id=1&username=2&password=3

由图可知是用?将request_uri得到的参数分割为两个数组

②第二三行代码中,if (isset($request_uri[1]))表示$request_uri[1]是否存在,在这里来看是肯定存在的,再使用&再做一次分割,写入如下代码,打印$rewrite_url中的内容

由上图可知,使用&分隔符将$request_uri[1]分隔开

③第五行代码,继续使用=进行分割,value就是上面出现过的1、2、3,然后将value[1]使用addslashes进行转义,然后放入waf2中dhtmlspecialchars函数中进行过滤看是否存在危险字符。

将$_SERVER['REQUEST_URI']用?分开,?后面的内容再用&切割成数组,遍历这个数组。对数组中的每个字符串,再用=分成0和1,最后填入到$_REQUEST数组中:$_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));

这个过程等于手工处理了一遍REQUEST_URI,将REQUEST_URI中的字符串分割成数组覆盖到REQUEST里。

按道理来说并没有什么大错误,但试想:这个过程是在我们的第一道WAF之后进行的,假设我们有一个方法让第一道WAF认为请求中没有恶意字符,再通过这里的覆盖,将恶意字符引入$_REQUEST中,就可以造成WAF的绕过了。

那么有什么办法让第一道WAF认为请求中没有恶意字符?这其实是个很难的问题,因为WAF会检测所有请求数组,只要有一个数组内的值存在问题,就直接退出。

4.简化代码index.php

<?php
header("Content-type: text/html; charset=utf-8");
require 'db.inc.php';
  function dhtmlspecialchars($string) {
      if (is_array($string)) {
          foreach ($string as $key => $val) {
              $string[$key] = dhtmlspecialchars($val);
          }
      }
      else {
          $string = str_replace(array('&', '"', '<', '>', '(', ')'), array('&amp;', '&quot;', '&lt;', '&gt;', '(', ')'), $string);
          if (strpos($string, '&amp;#') !== false) {
              $string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
          }
      }
      return $string;
  }
  function dowith_sql($str) {
      $check = preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is', $str);
      if ($check) {
          echo "非法字符!";
          exit();
      }
      return $str;
  }

  // 经过第一个waf处理
  //i_d=1&i.d=aaaaa&submit=1
  foreach ($_REQUEST as $key => $value) {
      $_REQUEST[$key] = dowith_sql($value);
  }
  // 经过第二个WAF处理
  $request_uri = explode("?", $_SERVER['REQUEST_URI']);
  //i_d=1&i.d=aaaaa&submit=1
  if (isset($request_uri[1])) {
      $rewrite_url = explode("&", $request_uri[1]);
      //print_r($rewrite_url);exit;
      foreach ($rewrite_url as $key => $value) {
          $_value = explode("=", $value);
          if (isset($_value[1])) {
              //$_REQUEST[I_d]=-1 union select flag users
              $_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));
          }
      }
  }

  // 业务处理
  //?i_d&i.d=aaaaaaa
  if (isset($_REQUEST['submit'])) {
      $user_id = $_REQUEST['i_d'];
      $sql = "select * from ctf.users where id=$user_id";
      $result=mysql_query($sql);
      while($row = mysql_fetch_array($result))
      {
          echo "<tr>";
          echo "<td>" . $row['name'] . "</td>";
          echo "</tr>";
      }
  }
?>

(1)业务处理板块分析

  if (isset($_REQUEST['submit'])) {
      $user_id = $_REQUEST['i_d'];
      $sql = "select * from ctf.users where id=$user_id";
      $result=mysql_query($sql);
      while($row = mysql_fetch_array($result))
      {
          echo "<tr>";
          echo "<td>" . $row['name'] . "</td>";
          echo "</tr>";
      }
  }

在业务处理板块下,它将id放在user_id,第三行这里不存在单引号也就不用闭合,但是是可以写入语句注入的。

(2)waf组合

  // 经过第一个waf处理
  //i_d=1&i.d=aaaaa&submit=1
  foreach ($_REQUEST as $key => $value) {
      $_REQUEST[$key] = dowith_sql($value);
  }
  // 经过第二个WAF处理
  $request_uri = explode("?", $_SERVER['REQUEST_URI']);
  //i_d=1&i.d=aaaaa&submit=1
  if (isset($request_uri[1])) {
      $rewrite_url = explode("&", $request_uri[1]);
      //print_r($rewrite_url);exit;
      foreach ($rewrite_url as $key => $value) {
          $_value = explode("=", $value);
          if (isset($_value[1])) {
              //$_REQUEST[I_d]=-1 union select flag users
              $_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));
          }
      }
  }

分析代码,第一个waf接收参数是使用$_REQUEST接收的,第二个waf使用$_SERVER接收。

 (3)思路

分析index.php中业务处理模块也就是注入点,而这个注入点是通过$_request接收的,而不是$_service接收的,也就意味着我们需要让第一次request提交的值没有恶意字符,而第二次提交的service有恶意字符(可以绕过dhtmlspecialchars函数),

 $_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));

最终提交的恶意字符会重新赋值给$_request,然后我们在$_request中接收,就可以将赋值语句接过来。

思路:

$_REQUEST不可以有恶意字符,防止被waf1过滤掉,$_SERVER可以有恶意字符,但必须要过dhtmlspecialchars这个函数,过完之后重新赋值给request,然后request在业务处理模块中直接接受。

5.php特性

回到3中的问题,那么有什么办法让第一道WAF认为请求中没有恶意字符?

在第一次WAF检测参数的时候,检测的是第二个参数,但后面覆盖request的时候,拿到的是第一个参数,相当于第一次检测的时候是正常的,第二次检测时候将恶意代码覆盖上去,那么不就可以造成WAF的绕过了么?

php传入两个参数时,会执行第二个参数。

php另一个特性,自身在解析请求的时候,如果参数名字中包含” “、”.”、”[“这几个字符,会将他们转换成下划线,如下:

php自动将点转换为了下划线。

假设我发送的是这样一个请求: /t.php?user_id=11111&user.id=22222 ,php先将user.id转换成user_id,即为/t.php?user_id=11111&user_id=22222 ,再获取到的$_REQUEST['user_id']就是22222。

可在$_SERVER['REQUEST_URI']中,user_id和user.id却是两个完全不同的参数名,那么切割覆盖后,获取的$_REQUEST['user_id']却是11111。

完美践行了我上述的思路:WAF检测的是2,实际插入数据库的却是1.

 6.测试


  // 业务处理
  //?i_d&i.d=aaaaaaa
  if (isset($_REQUEST['submit'])) {
      $user_id = $_REQUEST['i_d'];
      $sql = "select * from ctf.users where id=$user_id";
      $result=mysql_query($sql);
      while($row = mysql_fetch_array($result))
      {
          echo "<tr>";
          echo "<td>" . $row['name'] . "</td>";
          echo "</tr>";
      }
  }
?>

再来看这串代码,注入点在第三行,我们在第二行接收到i_d,然后放在第三行中,

写入i_d=aaa&i.d=aaa,i.d里面是正常的字符,点会变成下划线(i_d),第二行REQUEST接收到的是第二个参数i.d(无恶意字符的参数),会经过第一个waf过滤,由于无恶意字符,代码执行到第二个waf,在第二个waf中,就等于传入了两个参数,此时截取的1是i_d=aaa&i.d=aaa,然后使用&拆分开,拆分成i_d=aaa和i.d=aaa,然后将value再使用=进行拆分,waf2中接受的是i_d=aaa,而此时的恶意代码正好在第一个里面,这个恶意代码还要经过dhtmlspecialchars函数的过滤,重新赋值给 $_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));中的$_REQUEST,$key是i_d,value[0]是aaa(恶意代码),此时将恶意代码赋值给了$_REQUEST,上述代码正好接到了恶意代码。

index.php测试:

此时可以看出,并未被过滤,实际上被过滤的是i.d=aaaaa,前面的恶意代码未被拦截。但是dhtmlspecialchars函数还是会过滤,所以不能用括号,使用联合查询代替。

对i_d=1&i.d=aaaaa&submit=1进行分析:

 foreach ($rewrite_url as $key => $value) {
          $_value = explode("=", $value);
          if (isset($_value[1])) {
              //$_REQUEST[I_d]=-1 union select flag users
              $_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));
          }

(waf2分析)接下来我们要对这个数组进行循环,第一个key为 [0],value为i_d=1;第二个key为[1] ,value为i.d=aaaaa;第三个key为[2] ,value为submit=1。

第一个为value为i_d=1,此时这个value使用等号分割为id和1,$_value[1]就是1,[0]就是i_d,这里的$_REQUEST[i_d]目前等于1。

第二行结束后,结果为数组,(由于业务处理模块需要的是i_d),第一个元素['0']='i_d',第二个元素['1']='1',然后value[1]取出1,然后经过dhtmlspecialchars函数处理,赋值给&_REQUEST,value[0]是i_d,最终结果为$_REQUEST[i_d]=1,最终传入业务处理模块,去除了1也就是name。

Sugababes_12
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
贷齐乐系统最新版SQL注入(无需登录绕过WAF可union select跨表查询)
m0_68976043的博客
02-22 1262
单引号过滤16进制等号过滤可以用like空格绕过可以用注释符。
sql注入 ------- hpp+php绕过waf
m0_59049258的博客
09-02 344
第一层waf将以下关键字都过滤掉了 /select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is 第二层waf将以下符号转化为实体编码,其中的两个英文括号转化为中文括号 str_replace(array('&', '"', '', '(', ')'), array('&', '"', '<', '>', '(', ')') 利用php特性绕过这些过滤
phpsql注入过滤特殊字符
热门推荐
mingmingsuper的专栏
04-04 1万+
 phpSQL注入2009-01-18 10:34我在PHP4环境下写了一个防SQL注入的代码,经过实际使用在PHP5下也兼容,欢迎大家使用修改,使用。代码如下:/*sqlin 防注入类*/class sqlin{//dowith_sql($value)function dowith_sql($str){   $str = str_replace("a
贷齐乐hpp+php特性注入
丁航航的博客
08-11 727
分析可知,先进行两层waf拦截(详见下面),首先先对传入的参数使用dowith拦截,再使用dhtmlspecialchars拦截。再查询有没有submit,如果有则将id带入数据库进行查询并且返回值,如果没有submit,则直接退出。
HPP结合PHP解析URL特性SQL注入题目
young9222的博客
04-03 572
看到URL中有:index.php?file=CN 要有利用伪协议的思路: php://filter/read=convert.base64-encode/resource=index 再结合dirbuster扫描后台得出waf,function,index,config,global,content多个php,了解了该网站的WAF策略: #function.php <?php in...
mysql+limit+sql注入_SQL注入Bypass
weixin_39977136的博客
02-18 2047
前言:Android App安全测试先告一段落,虽然感觉还有很多需要学习的地方,毕竟我主要还是对Web方向感兴趣,又回到最初的起点!空格绕过:每种类型的数据库都允许使用空白字符。每个不同的RDBMS允许各种不同的空白字符,而不是通常的0x20。通过使用其他允许的空格字符切换标准空格,我们可以使某些防火墙无法识别注入,从而使我们能够有效地绕过它们1、/**/、/*!*/、%09、%0a、%0b、%0...
sql绕过php,SQL注入绕过技巧
weixin_39758618的博客
04-02 1948
1、 大小写混合2、替换关键字3、使用编码4、使用注释5、等价函数与命令6、使用特殊符号7、HTTP参数控制8、缓冲区溢出9、整合绕过a) 大小写绕过大小写绕过用于只针对小写或大写的关键字匹配技术正则表达式/express/i 匹配时大小写不敏感便无法绕过,这是最简单的绕过技术z.com/index.php?page_id=-15 uNIoN sELecT 1,2,3,4b)替换关键字这种情况下大...
sql注入绕过+rce
qq_64951792的博客
08-12 1037
RCE基础、SQL注入绕过
第五篇:Bypass 护卫神SQL注入防御(多姿势)1
08-03
【知识点详解】 本文主要探讨了如何绕过护卫神·入侵防护系统的SQL注入防御,提供了多种策略和技巧。护卫神是一款专注于...同时,对服务器日志进行监控,及时发现并响应异常行为,也是防止SQL注入攻击的重要手段。
第10篇:Bypass 护卫神SQL注入防御(多姿势)1
08-03
SQL注入防御与绕过策略】 SQL注入是一种常见的网络安全攻击手法,通过在Web应用程序的输入字段中插入恶意的SQL代码,以获取、修改、删除数据库中的敏感信息或控制服务器。在本文中,我们将探讨如何绕过护卫神·...
使用 树莓派3B+ 对日本葡萄园进行经济实惠的环境监测
EDATEC的博客
08-29 758
然而,他也热衷于酿造 “优质葡萄酒”,随着他所居住的东京北部胜沼地区葡萄酒旅游业的兴起,他感觉到了商机。菊岛热衷于在他所谓的 “Hinno ”物联网系统中使用太阳能,日语中的 “Hinno ”表明这是一种简单的农民葡萄栽培方法,因为太阳能还可以用来为电栅栏供电,防止动物靠近作物。他还可以在办公室里随时观察大气状况。对于 菊岛邦夫—Vineyard Kikushima 而言,Raspberry Pi 生态系统提供了支持和信息,通过基于温度和湿度监测的有针对性的最低限度杀虫剂方案,来提高葡萄的健康产量。
Nginx的lnmp服务搭建
2201_75745826的博客
08-29 626
nginx是一款功能强大的web服务器。和apache一样,有http和https两个服务。nginx功能强大,且库使用第三方模块,正反向代理等。Nginx默认采用多进程工作方式,Nginx启动后,会运行一个master进程和多个worker进程。其中master充当整个进程组与用户的交互接口,同时对进程进行监护,管理worker进程来实现重启服务、平滑升级、更换日志文件、配置文件实时生效等功能。worker用来处理基本的网络事件,worker之间是平等的,他们共同竞争来处理来自客户端的请求。
【Linux篇】网络请求和下载与端口
2301_80912559的博客
08-26 1030
如图,计算机A的微信连接计算机B的微信,A使用的50001即动态端口,临时找一个端口作为出口。计算机B的微信使用端口5678,即注册端口,长期绑定此端口等待别人连接。在win系统中,可以通过任务管理器选择进程后,点击结束进程从而关闭。IP地址相当于小区地址,在小区内可以有很多住户(程序)而门牌号(端口)就是各个住户(程序)的联系地址。为管理运行的程序,每一个程序在运行的时候,便被操作系统注册为系统中的一个进程。计算机程序之间的通讯,通过IP只能锁定计算机,但是无法锁定具体的程序。
Upload-Lab第20关:如何利用文件名可控漏洞?
didiplus
08-27 311
在Upload-Lab的第20关中,系统没有对上传文件的内容进行验证,而是仅对用户输入的文件名进行了检查。具体来说,系统使用文件后缀名的黑名单进行过滤,但由于上传的文件名是用户可控的,这为绕过机制提供了可能性。此外,函数还有一个特性,即它会忽略文件名末尾的/.,这可以被利用来绕过后缀名的黑名单检查,从而上传恶意文件。通过这一关的学习,我们可以深入理解 Apache 配置文件的作用及其在安全防护中的重要性。同时,这也提醒我们在设计和开发上传功能时,必须考虑到所有可能的攻击面,确保服务器配置的安全性和稳健性。
第三章 封装与继承
weixin_65279640的博客
08-28 1055
面向对象三大特征之一 ——封装概念:将类的某些信息隐藏在类内部,不允许外部程序直接访问,而是通过该类提供的方法来实现对隐藏信息的操作和访问把尽可能多的东西藏起来,对外提供便捷的接口。说白了就是把对象中的属性信息封装在对象类内部,不让用户直接使用类属性进行访问,而是定义一个方法作为类属性的接口提供给用户访问使用。封装的两个大致原则把所有的属性藏起来把尽可能多的东西藏起来,对外提供便捷的接口。
vulhub xxe靶机
最新发布
m0_75036923的博客
08-29 449
进入robots.txt里面会发现俩个目录然后我们进去xxe里面。可以看到关于密码和用户名的是xml,那么就可以考虑用xxe注入。解码出来是/etc/.flag.php然后重新修改xml。将admin.php改为flagmeout.php。可以看到有很多乱码,然后进行base64解码。进入xxe页面进行登录,burp抓包。解码后发现还需要进行以此md5解码。先用御剑扫描出ip然后进入网页。然后编成php文件进行访问。进行base32解密。
畅捷通CRM newleadset.php SQL注入漏洞复现
0xSec
08-26 474
用友畅捷CRM newleadset.php 处存在SQL注入漏洞 ,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
.hpp + .inl
04-27
.hpp和.inl都是C++中的文件扩展名,它们的作用非常相似,都是用来实现类的模板。.hpp是Header Plus Plus的缩写,通常用来定义类的成员函数和变量。.inl是inline的缩写,用来定义类的内联函数。这两个文件扩展名经常一起使用,.inl文件通常被包含在.hpp文件中以提供类的完整实现。 一个类的定义通常是被分开写的,而.hpp和.inl文件的存在使得类的完整定义整合在同一个文件中成为可能。通过这种方式,用户可以更加方便地使用这个类,也可以更加容易地了解类的实现细节。 使用.hpp和.inl文件还有其他的好处,例如可以更高效地编译代码,使得调试代码变得更加容易,可以更加方便地扩展类等等。总之,.hpp和.inl文件是C++编程过程中非常重要的组成部分,对于学习和使用面向对象编程来说是必不可少的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值