qq_47289634的博客

后台源码，载入了files/index.php。这段代码可以看出，后台页面应该是/admin/r=index。跟进/inc/checklogin.php，看到只验证了cookie里的user是否不为空。后台栏目编辑处也存在xss，不过是在后台，比较鸡肋，可以自己找下。进入files/index.php查看，引用了这几个文件。测试一下，在网站首页新建一个文件，写上phpinfo。实验，cookie里新增一个user，值随便填。读一下代码，可以看到很明显的一个文件包含。构造漏洞url，代码执行成功。

加上pyload中的%df 后，就是 %df%5c%27 ,然后MySQL在使用GBK编码的时候，会认为两个字符为一个汉字， %df%5c就被解析为一个汉字，%27也就是单引号就成功逃逸了，成功实现闭合，后面就可以通过or 来执行语句了。继续跟进，看下values这些值里面有没有进行过滤，看到使用intval进行了转换，其他也都进行了防护，重点回到getip吧。可以看到本机ip也在里面，而client-ip是可以伪造的，上bp，评论，抓包，加个client-ip参数，发现可以修改。查看执行的sql语句。

HTTP 响应拆分是由于攻击者经过精心设计利用电子邮件或者链接，让目标用户利用一个请求产生两个响应，前一个响应是服务器的响应，而后一个则是攻击者设计的响应。此攻击之所以会发生，是因为 WEB程序将使用者的数据置于 HTTP 响应表头中，这些使用者的数据是有攻击者精心设计的。session 保存的是每个用户的个人数据，一般的 web 应用程序会使用session 来保存通过验证的用户 账号和密码。一旦获取到 session id，那么攻击者可以利用目标用户的身份来登录网站，获取目标用户的操作权限。