背景 Serialize() //将一个对象转换成一个字符串 unserialize() //将字符串还原成一个对象 通过序列化与反序列化我们可以很方便的在PHP中进行对象的传递。本质上反序列化是没有危害的。但是如果用户对数据可控那就可以利用反序列化构造payload攻击。 常见方法 __construct()//创建对象时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访...
0x00 文件包含与文件包含漏洞 文件包含是指,服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行。文件包含还有另外一个名称,那就是代码重用。我们若是需要修改页面,只需要修改一个头部代码文件就可以了,其他上万个页面将会全部对应改变。 文件包含漏洞是指客户端(一般为浏览器)用户通过输入控制动念包含在版务器的文件,从而导致恶意代码的执行及敏感信息泄露,主要包括本地文件包含LFI和...
0x01 漏洞背景 漏洞名称: 漏洞编号: 0x02 漏洞复现0x03 漏洞分析 分析该poc可得知该整个攻击流程 首先是使用已知的账号密码进行登录登陆后进行数据表的创建操作,在指定的test数据库中创建prgpwn表,并且使用insert插入编码后的poc /e\0调用接口执行命令从源代码层面直接分析tbl_find_replace.php,从代码层面可以看到该调用直接调用了类库中PMA_TableSearch的getReplaceReview方法,该方法传入的时候我们post的参数。刚刚好repl...
一、md5加密漏洞 比较哈希字符串的时候,php程序把每一个以“0x”开头的哈希值都解释为科学计数法0的多少次方,恒为0 所以如果两个不同的密码经过哈希以后,其哈希值都是以“0e”开头的,那么php将会认为他们相同。 另外md5加密是有几率两个字符串不同,但是加密后的值是相同的情况,这种情况称为哈希碰撞 <?php $str1 = 's878926199a'; $str2 = 's214587387a';echo json_encode(['md5_str1' => md5($str1),'md5_str2' => md5($str...
0x00 简介 ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。 0x01 漏洞概述 由于没有正确处理控制器名,导致在网站没有开启强...
?PHPMailer远程命令执行漏洞复现 一、漏洞简介 PHPMailer是PHP电子邮件创建及传输类,用于多个开源项目:WordPress, Drupal, 1CRM, SugarCRM, Yii, Joomla!等。 PHPMailer < 5.2.18版本存在安全漏洞,可使未经身份验证的远程攻击者在Web服务器用户上下文中执行任意代码,远程控制目标web应用。 二、影响版本: PHPMailer<5.2.18 三、漏洞复现 Docker环境: dockerrun --rm -it -p8080:80vulnerables/cve-2016-10033 拉去镜像启动环...
uWSGI是一个Web服务器,它实现了WSGI协议、uwsgi、http等协议。 目录穿越漏洞:目录穿越不仅可以访问服务器中的任何目录,还可以访问服务器中任何文件的内容。例如,攻击者通过浏览器访问../../../../../../../../../../../../../../etc/passwd(此处较多../),就可以读取Linux服务器根目录下的etc目录下的passwd文件的内容。 目录穿越比目录浏览、目录遍历更具破坏性,目录穿越不仅可以读取服务器中任何目录及任何文件的内容,还...
文章目录 OWASP TOP 10PHP代码注入一、概述二、PHP相关函数&语句1. eval()2. assert()3. preg_replace4. call_user_func5. 动态函数 `$a($b)` 三、漏洞利用1. 直接获取Shell2. 获取当前文件的绝对路径3. 读文件4. 写文件 四、防御方法五、Seacms的php注入OWASP TOP 10 PHP代码注入 一、概述 概述 PHP代码注入(执行):在Web方面应用程序过滤不严,用户可以通过请求将代码注入到应用中执行。 代码执行(注入) 类似于SQL注入漏洞,SQ...
[ThinkPHP]5.0.23-Rce 环境搭建 github传送门 BUU传送门 POC老懒狗选择直接buu,链接 http://node3.buuoj.cn:27512/直接用poc打一下: POST /index.php?s=captcha HTTP/1.1 Host: node3.buuoj.cn:27512 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form-urlenc...
文章目录 CSRF漏洞危害挖掘思路环境搭建实施攻击攻击条件修复方案CSRFCSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CS...
文章目录 代码执行漏洞挖掘思路常见危险函数eval()和assert()回调函数 动态执行函数preg_replace()代码执行第一个参数第二个参数第三个参数 修复方案代码执行漏洞PHP代码执行漏洞可以将代码注入到应用中,最终到webserver去执行。该漏洞主要存在于eval()、assert()、preg_replace()、call_user_func()、array_map()以及动态函数中。挖掘思路 用户能够控制函数的输入存在可执行代码的危险函数 常见危险函数 eval()和assert() eval()...
点击tips查看元素,也并没有有用的信息,联想到题目,include 想起了文件包含漏洞。 构造payload ?file=/../../../../../../flag.php 没有返回东西。看完wq学到了一个新姿势: php伪代码https://segmentfault.com/a/1190000018991087 https://www.freebuf.com/column/148886.html构造payload ?file=php://filter/read=convert.base64-encode/resource=flag.php 得到base64加密后的flag.php文件,丢去解密得到flag。 ————————...
PHP Secure E-mails 在上一节中的 PHP e-mail 脚本中,存在着一个漏洞。 PHP E-mail 注入 首先,请看上一章中的 PHP 代码:Email: Subject: Message:"; } ?>以上代码存在的问题是,未经授权的用户可通过输入表单在邮件头部插入数据。 假如用户在表单中的输入框内加入如下文本到电子邮件中,会出现什么情况呢? someone@example.com%0ACc:person2@example.com %0ABcc:person3@example.com,person3@example.com, anotherperson4@ex...
这是在复现西湖论剑2020的NewUpload时学习到的知识点,觉得很有趣就记录下来了。 0x01 起因 参考文章:西湖论剑Web之NewUpload(黑白之道) 划水时间看着师傅的WriteUp时,发现了如下让我不解的操作(我这感人知识面)。本着菜就要多读书的原则,开始了一探究竟。0x02 深究 根据文章中提供的参考链接也了解到了这个操作,是“PHP-FPM未授权访问漏洞”。接下来需要一步步了解什么是PHP-FPM,下面我直接把前辈们文章的介绍搬过来,方...
前言 本文总结php的反序列化,有php反序列字符串逃逸,php反序列化pop链构造,php反序列化原生类的利用,phar反序列化,session反序列化,反序列化小技巧,并附带ctf小题来说明,还有php反序列化的预防方法(个人想法),建议按需查看,如有错误还望斧正。 如非特别说明运行环境为PHP 7.2.33-1+ubuntu18.04.1 为什么要序列化? 序列化可以将对象,类,数组,变量,匿名函数等,转换为字符串,这样用户就方便存储和传输,同时方便恢复...