其他-审计

1. sql 注入

waf baypass

搜索 :
from(.*)= \$

2. xss

3. 文件包含

伪协议绕过(如果限制了路径不能用伪协议和远程文件包含,如果限制了路径没有限制后缀可以包含上传的文件、日志文件、环境变量文件、sessions文件、临时文件)

  • phar://
  • zip://


    捕获.PNG
include($_GET['module'].'.inc');
//   phar://path/file/xx(压缩的文件 绕过来包含脚本。

利用步骤:
1. 一句话脚本.php
2. 后缀改成inc
3.压缩文件
4. 改成.png
源代码搜索:$_FILE(php处理上传文件基本跟这个变量有关)
php里strtotime()函数可以将时间信息转换为时间戳。


防御:白名单
<? php
$m = array('about','xxx');
/* Include */
if (isset($_GET['module'])){
  $a=$_GET['module']
  if(in_array($a, $m))
      include('./'.$_GET['module'].'.inc');
      else
          exit('include error');

4. 任意文件

这里user_avatar的值为2。多重设置,取最后一个值为最终值。
UPDATE users SET user_avatar = '1',user_avatar='2' WHERE user_name = 'test'#.png
',user_avatar='2' WHERE user_name = 'test'#.png
溯源.PNG

5. 越权操作

未判断id是当前用户还是其他用户
删除从Post处修改用户信息的代码,直接从sessionid获取用户id,这样用户就改不了了。

6. 登录密码爆破

7. 截断注入