当前位置: 首页 > news >正文

做地铁建设的公司网站手机网站首页布局设计

news 2026/6/9 22:00:30
做地铁建设的公司网站,手机网站首页布局设计,wordpress页面视频播放器,wordpress博客位置文章目录 [HarekazeCTF2019]Easy Notes-代码审计 [HarekazeCTF2019]Easy Notes-代码审计 登录之后有几个功能点#xff0c;可以添加节点#xff0c;然后使用Export导出 我们查看源码#xff0c; 我们发现想要拿到flag的条件时$_SESSION[admin]true 如果我们能够控制sessio… 文章目录 [HarekazeCTF2019]Easy Notes-代码审计 [HarekazeCTF2019]Easy Notes-代码审计 登录之后有几个功能点可以添加节点然后使用Export导出 我们查看源码 我们发现想要拿到flag的条件时$_SESSION[admin]true 如果我们能够控制session文件就可以拿到flag了 我们发现session存储的文件改为了/var/www/tmp 重点看export.php ?php require_once(init.php);if (!is_logged_in()) {redirect(/?pagehome); }$notes get_notes();if (!isset($_GET[type]) || empty($_GET[type])) {$type zip; } else {$type $_GET[type]; }$filename get_user() . - . bin2hex(random_bytes(8)) . . . $type; $filename str_replace(.., , $filename); // avoid path traversal $path TEMP_DIR . / . $filename;if ($type tar) {$archive new PharData($path);$archive-startBuffering(); } else {// use zip as default$archive new ZipArchive();$archive-open($path, ZIPARCHIVE::CREATE | ZipArchive::OVERWRITE); }for ($index 0; $index count($notes); $index) {$note $notes[$index];$title $note[title];$title preg_replace(/[^!-~]/, -, $title);$title preg_replace(#[/\\?*.]#, -, $title); // delete suspicious characters$archive-addFromString({$index}_{$title}.json, json_encode($note)); }if ($type tar) {$archive-stopBuffering(); } else {$archive-close(); }header(Content-Disposition: attachment; filename . $filename . ;); header(Content-Length: . filesize($path)); header(Content-Type: application/zip); readfile($path);这里可以看到导出的文件也是写到/var/www/tmp目录下面所以我们可以尝试session伪造一下伪造一个session文件 $filename get_user() . - . bin2hex(random_bytes(8)) . . . $type; $filename str_replace(.., , $filename); // avoid path traversal $path TEMP_DIR . / . $filename;get_user()会获取用户名bin2hex(random_bytes(8))会生成16进制字符串 如果我们用户名为sess_并且$type.那么两个.会被替换为空所以最终文件名就符合session文件的格式了session文件名可控 那么看一下session内容可控吗 $archive-addFromString({$index}_{$title}.json, json_encode($note));可控的 由于默认session_serialize_handlerphp那么序列化规则为 处理器对应的存储格式php键名 竖线 经过 serialize() 函数反序列处理的值 所以$_SESSION[admin]true需要满足 admin|b:1;但是由于我们导出的文件中有一些内容防止被污染我们需要这么写 |N;admin|b:1;添加之后导出 /export.php?type.最后替换一下PHPSESSID为文件名
http://www.w-s-a.com/news/732015/

相关文章:

  • 福建亨立建设集团有限公司网站搜狗网页游戏大厅
  • 设计网站musil访问量大的网站选择多少流量的服务器何时
  • 公司网站包括哪些内容新网站怎样做外链
  • 淘宝宝贝链接怎么做相关网站广州好蜘蛛网站建设
  • 长春网站制作网页博山区住房和城乡建设局网站
  • 云南大学网站建设解析到网站怎样做
  • 网站维护的要求包括锦溪网站建设
  • 金站网.营销型网站学校安全教育网站建设
  • 临沂市建设局网站公示军事新闻头条2023
  • 购物网网站建设lamp 做网站
  • 做网站网站庄家html5网站开发技术
  • 无锡门户网站制作电话广告设计公司的未来
  • 白云区专业网站建设网页设计模拟试题答案
  • 毕业设计网站代做多少钱制作旅游网站设计概述
  • 网站开发维护运维无人在线电视剧免费观看
  • 电子商务网站建设开题报告展馆网站建设
  • 门户网站建设的背景和意义手机网站前
  • 国内免费视频素材无水印素材网站国家最新消息
  • 襄阳seo站内优化学做网站论坛教程
  • 文明网站建设情况报告wordpress伪静态配置
  • 牙科网站模板个人微信网站建设
  • 厦门公司注册网站dw做简单小说网站
  • 网站建好以后每年都续费么wordpress 仿聚划算
  • 单位网站建设收费标准网上开店铺需要多少钱
  • 灯饰网站需要这么做申请域名的流程
  • 软件下载网站怎么赚钱wordpress减少数据库查询
  • 什么兼职网站可以做视频剪辑常见的推广平台有哪些
  • 网站开发是用html还是jsp设迹官网
  • 查公司信息的网站怎么学wordpress
  • 白银做网站长春一般建一个网站需要多少钱