【Pikachu】“MYSQL_ASSOC“ in /var/www/html/pikachu/vul/csrf/csrfget/csrf_get_edit.php:70 Stac

原创 已于 2023-12-14 12:41:09 修改 · 612 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mysql #csrf #php

于 2023-08-12 17:53:26 首次发布
在使用漏洞练习平台(如pikachu)练习漏洞时,修改个人信息可能出现报错。可根据报错提示编辑文件,在末行模式下显示行号,修改后保存文件并重启服务。若CSRD post和token类型也出错,同样查看报错位置修改对应文件。

在使用pikachu漏洞练习平台,练习csrf漏洞的时候,修改个人信息,报错问题解决如下

image-20230812174332399

Fatal error: Uncaught Error: Undefined constant "MYSQL_ASSOC" in /var/www/html/pikachu/vul/csrf/csrfget/csrf_get_edit.php:70 Stack trace: #0 {main} thrown in /var/www/html/pikachu/vul/csrf/csrfget/csrf_get_edit.php on line 70

image-20230812174342160

根据报错提示cd /var/www/html/pikachu/vul/csrf/csrfget/下,编辑 vim csrf_get_edit.php这个文件

显示行号在末行模式下输入:set nu

image-20230812174529744

image-20230812174633453

在使用pikac

最低0.47元/天 解锁文章
安装帝国CMS时,“检测运行环境”步骤显示错误,没有“下一步”按钮
Myr233的博客
11-01 827
帝国CMS“检测运行环境”出错
pikachu靶场通关之csrf漏洞通关教程
记录学习
05-14 1344
pikachu靶场csrf通关教程
Uncaught Error: Undefined constant “Ford“
perfect_tense的博客
09-21 1265
Uncaught Error: Undefined constant "Ford"
Use of undefined constant MYSQL_ASSOC - assumed ‘MYSQL_ASSOC‘的解决方法
mastergu2的博客
08-10 5925
在使用pikachu的时候发现一点问题,好像是由php版本较高导致的不兼容,如图: 在这里我们打开这个路径,找到第70行,把MYSQL_ASSOC改成MYSQLI_ASSOC,保存文件,刷新网页。 就可以啦 原因大概是这个(从别的地方看到的): 在php7中,MYSQL_ASSOC不再是一个常量,将 MYSQL_ASSOC改为MYSQLI_ASSOC,意思是mysqli的方式提取数组,而不再是mysql 。(原因:mysql_fetch_arrayhan函数转为mysqli_fetch_array,参
PHP学习笔记5:常量
梦幻天空
12-03 857
PHP学习笔记5:常量 图源:php.net 语法 php常量的基本用途与其它语言类似,即在编译期而非运行期提供一种确定的、不会改变的值: const PROGRAM_VERSION = '1.0.0'; const DB_VERSION = '1.0.0'; const AUTHOR = 'icexmoon'; 这些常量通常用于定义软件版本号、作者信息等。 按习惯,常量名通常以全大写字母结合_定义。 在Go语言是个例外,其变量和常量命名都不推荐使用_,所以常量命名只能是大小写字母的驼峰样式。 常量
一句话木马踩坑Uncaught Error Undefined constant a
weixin_44603865的博客
07-27 798
运行该代码的时候报错Uncaught Error: Undefined constant “a”,
PHP连接Mysql报错 Fatal error: Uncaught Error: Call to undefined function mysql_connect() in /Application
a280966503的博客
11-09 9711
$link = mysqli_connect('localhost:3306','root','111111');//正确PHP7 $link = mysql_connect('localhost:3306','root','111111');//报错PHP7
Warning: Use of undefined constant MYSQL_ASSOC - assumed 'MYSQL_ASSOC' (this will throw an Error in a future version of PHP) in D:\phpstudy_pro\WWW\pikachu-master\vul\csrf\csrftoken\token_get_edit.php on line 76
最新发布
08-12
另外,如果代码中使用了 `MYSQL_ASSOC` 并且没有定义,那么需要替换为 `MYSQLI_ASSOC`,因为 `MYSQL_ASSOC` 是mysql扩展的常量,而mysqli扩展使用 `MYSQLI_ASSOC`。 下面是一个示例,展示如何修改代码: 修改前...
csrf漏洞与ssrf漏洞
lin__ying的博客
06-03 1288
跨站请求伪造(CSRF)漏洞是一种Web应用程序安全漏洞,攻击者通过伪装成受信任用户的请求来执行未经授权的操作。这可能导致用户在不知情的情况下执行某些敏感操作,如更改密码、发送消息等。要防止CSRF攻击,可以使用随机生成的令牌来验证每个请求的来源和合法性。CSRF利用流程:攻击者发现CSRF漏洞-->构造代码-->发送给受害人-->受害人打开-->受害人执行代码-->完成攻击CSRF利用条件1.用到了cookie鉴权2.被攻击方鉴权未过期3.知道目标网站请求的详细信息。
深入理解PHP错误:Undefined constant
理论都是虚的,代码才是王道。
11-07 3888
其中,"Error: Undefined constant"是一个常见的错误,它表示我们在代码中使用了一个未定义的常量。当我们在PHP代码中遇到"Error: Undefined constant"错误时,我们需要首先理解这个错误的含义。然而,由于这个常量没有被声明和初始化,所以PHP会抛出一个"Error: Undefined constant"错误。现在,当我们尝试输出这个常量时,PHP就不会再抛出错误了。一旦我们发现了一个未定义的常量,我们就可以通过声明和初始化这个常量来修复这个错误。
PHP8 编程提示(二)
龙哥盟
07-19 1456
PHP 的一个臭名昭著的特性是它如何处理未定义的变量。看一下这个简单的代码块。请注意,$a和$bint(0)从输出中可以看出,PHP 7 发出了一个Notice,让我们知道我们正在使用未定义的变量。如果我们使用 PHP 8 运行完全相同的代码,您可以快速看到以前的Notice已经提升为Warningint(0)PHP 8 中错误级别提升背后的推理是,许多开发人员认为使用未定义变量是一种无害的做法,实际上却是非常危险的!你可能会问为什么?
使用PHPStudy搭建pikachu靶场出现Fatal error: Uncaught Error: Call to undefined function mysqli_connect()的解决方法
mugao666的博客
06-02 710
出现这个代码的原因是因为php的拓展php_mysqli没有正常运行。再从php的拓展目录里对于的拓展文件拖入创建的文件夹中即可解决。在cmd中输入php -v会出现下面代码。需要在指示的盘下创建一样的文件。
Fatal error: Uncaught Error: Call to undefined function mysql_connect() 解决办法详细
dhyuan_88的博客
11-05 1180
情况一情况二情况三解决办法。
Thinkphp8 项目部署报错解决办法
貔貔的小叶
03-01 2303
解决办法,只需要在命令行中执行下面命令就可以解决。
PHP Fatal error: Undefined class constant 'MYSQL_ATTR_INIT_COMMAND'
Coco5419的博客
07-21 900
最近用ThinkPHP,给公司布置线上的网站的时候,遇到的一个问题,记录一下。 打开IE浏览器的设置,Internet选项里的高级,将”显示友好的HTTP错误消息“前都勾去掉! 再次刷新,看到的错误是: PHP Fatal error: Undefined class constant 'MYSQL_ATTR_INIT_COMMAND' in C:\inetpub\wwwr...
报错:Fatal error: Uncaught Error: Call to undefined function mysql_connect()解决
热门推荐
BaiMao257的博客
08-29 2万+
解决数据库连接报错问题 PHP更新7.3之后,突然发现网站连接数据库之后出现了“Fatal error: Uncaught Error: Call to undefined function mysql_connect()”的错误提示。经过本小白一系列排(du)查(niang)发现这个函数改成了mysqli_connect().所以修改代码如下: $sql=mysqli_connect('test','root','root','abc'); //学习中,一些不规范命名还请见谅。 mysql_query(
pikachuCSRF漏洞
weixin_51446936的博客
06-09 1027
一、CSRF漏洞概述 跨站请求伪造(英语:Cross-site request forgery),简称“CSRF”。在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接)。然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击也就完成了。所以CSRF攻击也被称为“one click”攻击 例如以下场景: 如果小黑想要修改lucy的个人信息,应该怎么办?需要有lucy的权限 于是小黑将修改个人信息的请求伪造一下,然后通过聊天工具或者邮件的方式引诱lucy在登录的情况下点击,攻击成功了! 伪
Pikachu靶场全级别通关教程详解
Z4400840的博客
05-08 987
XSS是一种发生在Web前端的漏洞,所以其危害的对象主要是前端用户。XSS漏洞可以用来进行钓鱼攻击,前端js挖矿,获取用户cookie,甚至可以结合浏览器自身的漏洞对用户主机进行远程控制等Cross-site request forgrey简称为"CSRF"。在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接)然后欺骗目标用户进行点击,用户一旦点击这个请求,整个攻击也就完成了。因此CSRF攻击也被称为"one click"攻击。为什么小黑可以攻击成功呢?
看到控制台里有报错信息,GET http://192.168.111.103/pikachu-master/vul/csrf/csrfget/csrf_get_edit.php 500 (Internal Server Error)
07-16
### CSRF(GET) 请求导致 500 Internal Server Error 的排查原因 在使用 Pikachu 漏洞测试平台进行 CSRFGET)攻击时,若触发修改信息后出现 500 Internal Server Error,通常表示服务器端脚本执行过程中发生了严重错误。以下是一些可能的原因及对应的排查方法。 #### 1. **请求参数格式不正确或缺失** - 当构造的 GET 请求中缺少必要参数或参数值未正确编码时,可能导致服务器端解析失败,从而引发 500 错误。 - 例如,在 `csrf_get_edit.php` 页面中,若未包含 `submit=submit` 这类用于标识表单提交的字段,PHP 脚本可能无法进入数据处理逻辑,进而报错[^2]。 - 确保 URL 中所有参数均按照目标页面要求格式传递,并使用 `urlencode()` 对特殊字符进行转义。 ```http GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=男&phonenum=13800138000&add=China&email=test@example.com&submit=submit HTTP/1.1 Host: localhost ``` #### 2. **SQL 注入或数据库操作异常** - 若服务器端代码未对用户输入进行过滤或转义,直接拼接 SQL 语句,可能导致语法错误或注入失败,从而触发 500 错误。 - 检查 `csrf_get_edit.php` 文件中的数据库操作部分是否使用了未经保护的字符串拼接方式,建议改用预编译语句以提升安全性与稳定性[^2]。 #### 3. **PHP 脚本存在语法或运行时错误** - 若 PHP 脚本本身存在语法错误、变量未定义、函数调用失败等问题,也可能导致 500 错误。 - 可通过查看服务器日志(如 Apache 或 Nginx 的 error.log)获取更详细的错误信息,定位具体出错位置。 - 同时确保 PHP 配置文件中开启了错误提示: ```ini display_errors = On error_reporting = E_ALL ``` #### 4. **权限问题或路径错误** - 若脚本尝试访问某个受限制的资源(如配置文件、图片目录等),但当前运行用户无权访问,也可能导致 500 错误。 - 检查脚本中涉及的文件路径是否正确,权限设置是否合理,特别是数据库连接文件(如 `config.php`)是否存在或路径错误[^2]。 #### 5. **CSRF Token 校验机制存在但未绕过** - 若目标页面虽为 GET 型请求但引入了 Token 校验机制,攻击者未携带有效 Token 将导致服务器拒绝执行操作并返回 500 错误。 - 查看页面源码中是否存在隐藏的 Token 字段,若有,则需结合 XSS 或其他手段获取合法 Token 才能完成攻击。 #### 6. **服务器配置问题** - 某些服务器配置不当(如 `.htaccess` 规则冲突、RewriteRule 错误)也可能导致特定请求被错误处理,从而返回 500 错误。 - 检查服务器配置文件和重写规则,确保没有干扰正常请求处理的内容。 --- ### 示例:检查 PHP 错误日志 ```bash tail -f /var/log/apache2/error.log ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

过期的秋刀鱼-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值