dvwa_setup.php页面代码审计
前言
接上一篇login.php页面的审计,这次审计的是数据库检测页面setup.php 在我们第一次使用dvwa时,便会触发这个页面显示数据库相关信息以及
感觉这个页面php代码还是相对较少的,简单审计一下,下一篇应该会去审计MySQL.php页面,有一些是跟login.php页面相同的代码片段,这里就不再重复
0x01
#对页面进行一些基础的设置,例如title,page.id等
$page = dvwaPageNewGrab();
$page[ 'title' ] = 'Setup' . $page[ 'title_separator' ].$page[ 'title' ];
$page[ 'page_id' ] = 'setup';0x02
#数据库操作
if( $DBMS == 'MySQL' ) {
include_once DVWA_WEB_PAGE_TO_ROOT . 'dvwa/includes/DBMS/MySQL.php';//数据库为MySQL时,跳转到MySQL.php文件
}
elseif($DBMS == 'PGSQL') {
// include_once DVWA_WEB_PAGE_TO_ROOT . 'dvwa/includes/DBMS/PGSQL.php';
dvwaMessagePush( 'PostgreSQL is not yet fully supported.' );//数据库为PGSQL时,返回PostgreSQL is not yet fully supported信息
dvwaPageReload();
}
else {
dvwaMessagePush( 'ERROR: Invalid database selected. Please review the config file syntax.' );//其他数据库返回不支持的信息
dvwaPageReload();
}
}0x03
$database_type_name = "Unknown - The site is probably now broken";//先定义$database_type_name为Unknown - The site is probably now broken信息
if( $DBMS == 'MySQL' ) {
$database_type_name = "MySQL/MariaDB";//进行判断,若为MySQL,则$database_type_name转化为MySQL/MariaDB并向下传递到html代码中显示
} elseif($DBMS == 'PGSQL') {
$database_type_name = "PostgreSQL";//若为PGSQL,则$database_type_name便令转化为PostgreSQL并向下传递到html代码中显示
}
未完待续
有错误请各位师傅及时指出,万分感谢!
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 doathuwant!
