审计impossible难度的代码,说明其中函数的作用

最新推荐文章于 2025-07-27 20:42:26 发布
最新推荐文章于 2025-07-27 20:42:26 发布
阅读量64 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 网络安全 安全性测试 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jj_24/article/details/134538593
文章描述了一个PHP脚本,用于验证用户输入的IP地址是否有效,并利用白名单策略,同时使用CSRFtoken防止请求伪造。它还展示了如何使用explode函数处理IP地址和在不同操作系统上执行ping命令。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 Impossible

这题不再使用黑名单过滤而是使用了白名单。

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $target = $_REQUEST[ 'ip' ];
    $target = stripslashes( $target );

    // Split the IP into 4 octects
    $octet = explode( ".", $target );

    // Check IF each octet is an integer
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // If all 4 octets are int's put the IP back together.
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }

        // Feedback for the end user
        echo "<pre>{$cmd}</pre>";
    }
    else {
        // Ops. Let the user name theres a mistake
        echo '<pre>ERROR: You have entered an invalid IP.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

checktoken函数:主要是进行一个token验证,可以防止请求伪造。

explode函数:使用字符串对另一个字符串进行分割,并且以数组形式返回。这里演示的是以 ' . ' 作为分割符将2023.6.9进行了分割,并返回成数组。

jj_24
关注
dvwa命令执行漏洞,审计impossible难度代码
weixin_58155715的博客
11-21 136
它首先检查了Anti-CSRF令牌以防止跨站请求伪造攻击,然后检查了用户输入的IP地址是否合法,最后根据操作系统的不同,执行相应的ping命令。使用stripslashes()函数清理用户的输入,但没有进行任何其他类型的验证或过滤,可能存在注入攻击的风险。尽量避免使用shell_exec()函数执行外部命令,可以选择使用更安全的方法,如使用内置函数或者限制命令参数。在确定操作系统之后,直接使用shell_exec()函数执行ping命令,存在命令注入风险。
DVWA-impossible难度代码审计
2301_77744026的博客
06-10 648
这段php代码,通过表单提交的方式对ip地址进行ping命令执行。首先检查了token来防范跨站点请求伪造(CSRF)攻击,然后判断ip地址格式是否正确,有没有'/',避免注入攻击。接着将ip地址用'.'拆分并检查,检查他是否是整数数字(小数的话就是两部分了),是否是四个octet。如果是,那么他就是ip地址。则将ip地址重新组装。之后再确定操作系统,并对应执行ping命令,并将结果输出。 ​ 如果输入的 IP 地址不合法,则显示错误消息。代码还生成一个 session token 以防止 CSR
DVWA-impossible代码审计
yuan_boss的博客
09-29 1595
暴力破解的impossible级别,在代码语法上,主要使用了token校验防止CSRF攻击,并且对于一起sql语句都使用预编译的方式执行。在代码逻辑上添加了登录规则,失败登录次数,用户锁定规则。命令注入的impossible级别:在代码语法上,加入token校验。在逻辑上对数据进行消毒,然后借助程序来拼接有效IP,从而防止用户输入的非法数据被执行。
审计impossible难度代码说明其中函数作用,不要求每个函数都演示
weixin_45815516的博客
11-21 72
审计impossible难度代码说明其中函数作用
impossible难度的命令执行代码审计
jiangwnxu的博客
06-09 104
impossible难度的命令执行代码审计
dvwa命令注入impossible代码审计
x15wda33的博客
06-09 531
有兴趣,请查阅网络安全相关书籍简单的说是攻击者在受害人不知情情况下伪造了受害人网站的cookie,并利用该cookie对服务器进行访问从而窃取受害人的相关信息1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;4、网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A。
网络安全】DVWA之SQL注入—Impossible level代码审计
热门推荐
等风来
04-26 1万+
使用 execute() 方法执行查询,使用 fetch() 方法获取查询结果中第一行的数据,并将其存储到 $row 数组中。然后判断 $data->rowCount() 的值是否为 1,确保只有一个结果被返回. 在 SQLite 中,使用全局变量 $sqlite_db_connection 获取 SQLite 数据库连接对象,并使用 prepare() 方法准备 SQL 查询语句,在其中使用占位符 :id 代替 id 参数。 使用 bindValue() 方法将 id 参数绑定到占位符上,指定参数类型
审计dvwa高难度命令执行漏洞的代码
Retr10010的博客
11-21 329
打开dvwa靶场,把难度设置为high,然后进入“命令执行”漏洞靶场。
审计DVWA靶场命令执行关卡impossible难度代码
m0_63842243的博客
11-21 193
函数会返回一个数组,其中的每个元素都是原始字符串中分隔符分割出的部分。函数中,第一个参数是分隔符,这里是逗号。,第二个参数是待分割的字符串。
审计dvwa中高难度命令执行代码 演示无回显如何渗透 编写php实现反序列化魔法函数自动调用计算器 什么是php反序列化漏洞
qq_63074316的博客
11-21 694
序列化本意是保证编写的代码能够在互联网完整的传输个人理解:序列化和反序列化本身不存在漏洞 之所以有是由于开发者在编写时加入了恶意的代码记住链式调用!!a套b b套危险函数 魔法函数引用a 从而触发危险函数 以此引发反序列化漏洞网完整的传输a套b b套危险函数 魔法函数引用a 从而触发危险函数 以此引发反序列化漏洞chatgpt:PHP反序列化漏洞是一种存在于应用程序中的安全漏洞,它允许攻击者通过发送恶意构造的序列化数据来控制程序的行为,从而实现代码执行、数据库操作等攻击目的。
day2-dvwa命令执行漏洞代码审计&PHP反序列化
m0_70099896的博客
11-21 429
php反序列化漏洞,是手工测试不出来的,只能通过代码审计漏洞原因是因为没有对用户上传的代码进行审核过滤或者魔法函数中存在危险的动作能够被用户的代码调用。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8742
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
信息安全性测试:渗透测试、漏洞扫描与代码审计全解析
iotintop2的博客
07-18 418
信息安全性测试是依据国家标准、行业标准、地方标准或相关技术规范,依照规范流程对信息系统的安全保障能力开展科学公正的综合测试评估,旨在分析系统当前安全运行状况、排查潜在安全问题,并提供针对性安全改进建议,从而最大限度降低系统安全风险。
Red靶机攻略
最新发布
duanjiaxu6666的博客
07-27 1400
使用php伪协议访问:http://redrocks.win/NetworkFileManagerPHP.php?建立pass.txt文件,将之前配置文件那个密码放入,然后利用hashcat对应的base64规则去枚举相关的密码,存入passlist.txt中,格式是类似于之前获得的那个密码的,最好利用hydra进行爆破,获得对应的密码。
red靶场
m0_75212639的博客
07-27 473
状态码为500猜测这个页面可能存在漏洞,使用wfuzz测试一下参数,字典也用github上面提供的字典文件,路径换自己上传文件的地址。下载一下,导入到kali中 命令需要修改文件地址,变为你字典放到kali的位置。前面得出hashcat,将密码保存到pass.txt文件使用hashcat规则进行破解。经过查询,Mr. Miessler是github上的一个字典。先写一个pass.txt,将密码保存到当前路径,再执行命令。页面,进行访问,发现是一片空白,说明存在这个页面。
Android-广播详解
2401_87366139的博客
07-26 976
分类:标准广播是一个完全异步执行的广播,几乎同时的接收器会收到这个广播,效率比较高,无法截断;有序广播是同步执行,同一时刻只有一个接受器才能接受到消息,优先级高的接收器先接受到,同时也可以进行截断。
自定义定时任务功能详解
weixin_52673410的博客
07-26 937
• 灰度验证:新任务首次运行建议设置1分钟间隔,观察日志无误后再调整周期 • 异常处理:在代码中增加try-catch模块,防止单次失败导致任务中断 • 资源监控:通过php think timer status查看任务进程资源占用。• 系统任务:预置10种常用任务(如订单自动确认、优惠券过期提醒等),支持开关控制与周期调整 • 自定义任务:开发者可自由创建个性化任务,满足特殊业务需求。• 执行周期:支持秒/分/时/天/周/月/年七种粒度 示例:选择"每10秒执行" → 系统自动显示周期说明文字 •。
[NPUCTF2020]ReadlezPHP
2301_79806187的博客
07-25 1036
php反序列化,动态函数调用。
2.Linux 网络配置
xie52的博客
07-25 628
将ens33网卡ip地址修改为192.168.100.20,网关设置为192.168.100.254,dns设置为114.114.114.114 ipv4设置为手动配置,自动连接。如果目标是网络:route add -net 目标网络 netmask 网络掩码 gw 网关地址 dev 接口。如果目标是主机:route add -host 目标主机的IP地址 gw 网关地址 dev 接口。如果目标是一个网段,那么可以有网关,也可以没有网关。查看ip转发是否开启,如果开启则结果为1,反之为0。
输入三点的坐标值 若该三点能构成三角形则输出周长面积 否则输出Impossible的c语言代码
10-13
在C语言中,判断三个点是否能构成三角形并计算其周长和面积通常需要先验证这三个点是否满足构成三角形的条件(任意两边之和大于第三边),然后才能进行后续的计算。以下是一个简单的示例代码,它首先检查输入的点能否构成三角形,然后计算周长和面积(这里假设每个点由x和y坐标的二维数组表示): ```c #include <stdio.h> #include <math.h> // 函数用于计算两点之间的距离 double distance(int x1[], int y1[], int x2[], int y2[]) { return sqrt(pow(x2[0] - x1[0], 2) + pow(y2[0] - y1[0], 2)); } // 判断三点是否构成三角形 int isTriangle(int point1[][2], int point2[][2], int point3[][2]) { double side1 = distance(point1, point2); double side2 = distance(point2, point3); double side3 = distance(point3, point1); if (side1 + side2 > side3 && side1 + side3 > side2 && side2 + side3 > side1) return 1; else return 0; } // 计算三角形的周长 double trianglePerimeter(int point1[][2], int point2[][2], int point3[][2]) { double side1 = distance(point1, point2); double side2 = distance(point2, point3); double side3 = distance(point1, point3); return side1 + side2 + side3; } // 计算三角形的面积(海伦公式) double triangleArea(int point1[][2], int point2[][2], int point3[][2]) { double a = distance(point1, point2); double b = distance(point2, point3); double c = distance(point3, point1); double s = (a + b + c) / 2; return sqrt(s * (s - a) * (s - b) * (s - c)); } int main() { int points[][2] = {{0, 0}, {3, 0}, {0, 4}}; // 举例的三个点 int isOk = isTriangle(points, points+1, points+2); // 检查是否能构成三角形 if (isOk) { printf("三角形周长: %.2f\n", trianglePerimeter(points, points+1, points+2)); printf("三角形面积: %.2f\n", triangleArea(points, points+1, points+2)); } else { printf("Impossible\n"); } return 0; } ``` 这个程序首先通过`isTriangle`函数检查是否能构成三角形,如果可以,则计算并输出周长和面积;否则,输出"Impossible"。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值