Press enter to see results or esc to cancel.

Aziz Ozbek » cURL, PHP » PHP cURL Submit Form Post Method (Session Entführung)
submit post with php curl
Aziz Ozbek in cURL, PHP
  0 Comments

PHP cURL Submit Form Post Method (Session Entführung)

In diesem Artikel werden wir sehen, wie man den Inhalt der Zielwebsite erhält, indem man mit Hilfe von PHP cURL Form Post schickt. Normalerweise ist es einfach, Inhalt der Website zu erhalten, aber wenn das Zielwebsite ein CSRF (Cross Site Request Forgery) Defender hat oder etwas, das mit dem aktiven Sitzungs-ID mit Besuchersitzung gleichsetz, können Sie sich nicht automatisch erfolgreich anmelden. In diesem Fall verwenden wir den Session-Entführung Trick, um die Ziel-Website zu täuschen. Zuerst sehen wir, was Cross Site Request Forgery ist und wie es funktioniert?

What is Cross Site Request Forgery, csrf

Was ist Cross Site Request Forgery?

Cross-Site Request Forgery (CSRF) ist ein Angriff, der einen Endbenutzer dazu zwingt, unerwünschte Aktionen in einer Webanwendung auszuführen, in der er sich schon authentifiziert hat. CSRF-Angriffe richten sich speziell gegen zustandswechselnde Anforderungen, nicht gegen Datendiebstahl, da der Angreifer keine Möglichkeit hat, die Antwort auf die gefälschte Anforderung zu sehen. Lesen Sir mehr darüber...

Was ist Session Hijacking?

Während des Session-Hijackings wird eine gültige Sitzung von einem Angreifer entführt. Nach einer erfolgreichen Entführung kann der Angreifer im schlimmsten Fall die Identität des Benutzers übernehmen und die Anwendung in seinem Namen verwenden.

Lesen Sie mehr darüber…

Session_Hijacking_php curl
Session Hijacking

Wie es funktioniert ?

  1. Allererst, wenn Sie nicht wissen wie man Quellen Code einer Website durchschauen kann, oder wenn Sie sicher sein wollen, dass Sie alle Post Felder vollständig bekommen haben, öffnen Sie die Zielwebsite und ändern Sie action="" dieses Parameter zu ihrer curl.php seite, wie ich unten gezeigt habe. Mit dem folgenden Code bekommen wir alle POST Infos von Zielwebsite.
    if($_GET){foreach ($_POST as $key => $value) echo htmlspecialchars($key)." = ".htmlspecialchars($value)."\n";}
form action redirect to localhost
  1. Jetzt haben Sie alle Post Felder von der Zielwebsite. Schauen Sie wie sie name="" Parameters geschrieben haben. Am meisten sind sie “username” und “password“. Darum habe ich auch in mein Code so geschrieben. Wenn sie anders als “username” und “password” sind, ändern Sie die Array Parameters in linie 11.
    $postValues = array(
	    'username' => $name,
	    'password' => $pass
	);
  2. Dann schauen Sie action="" wohin dieses Form Infos gehen, am meisten schicken sie zu gleicher Seite, wenn es bei ihrer Zielwebsite anders ist, schreiben Sie in $LOGIN_ACTION_URL = "" das gleiche Address, wo in action=”” ist. Sonst lassen Sie die $LOGIN_ACTION_URL = $loginForm und $LOGIN_FORM_URL = $loginForm gleich.
  3. Jetzt können Sie eine Datei erstellen, die die Sitzungsinformationen enthält. Ich habe es nicht in mein Code geschrieben, dass es sich automatisch erstellt. Denn wenn Sie es unter Linux ohne Administratorrechte verwenden, kann es nicht automatisch erstellt werden. Aber wenn Sie es automatisch erstellen möchten, können Sie folgenden Code statt $COOKIE_FILE = 'cookie.txt'; verwenden.
    if(!file_exists("cookie.txt")){
 	$COOKIE_FILE = 'cookie.txt';
 }else{
	$COOKIE_FILE = fopen("cookie.txt", "w");
}
  4. Jetzt wir haben alles, was wir in unserem Function verwenden sollen. (Neben jeder anderen Codes habe ich gleich kleine Kommentare geschrieben)
    $username = ""; // your username
$password = ""; // your password
$formPage = ""; // login form page 
$indexseite = ""; //after login which page do we wanna go 
$get = get_curl($username, $password, $formPage, $indexseite);

    $formPage das ist, wo Login Form sich findet.
    $indexseite Das ist die Seite, die Sie nachdem erfolgreiche Authentication sehen wollen.

  5. Kopieren Sie einfach die Codes, die unten sind. Oder installieren Sie obigen PHP Datei.
  6. Viel Spass.

Rating: 5.0/5. From 8 votes.
Please wait...
0 Comments
Written By
Aziz Ozbek

Fullstack Entwickler und WordPress Expert aus Zürich
Kontakt

Tags
Comments

Leave a Comment

Aziz Ozbek

WordPress Expert from Zürich

I am available for a freelance job. Hire me

Looking for a WordPress Developer?

I'm a Fullstack PHP Developer a Hosting Company in Zürich/Switzerland. I love WordPress! For personal and business purposes i use WordPress.

If you have any Problem with your WordPress Website or you want to create one do not hesitate to contact me!

Neueste Kommentare
Recent Posts
Tags
adobe after effects (3) apache (2) bridge firewall (2) broadcast (1) config (1) crawler (1) edward snowden (1) einfach erklärt (1) element3d (2) element3dv2 (1) firewall (2) haven (1) haven app (1) homepage (1) hosting (2) hub (2) ifconfig (1) internetseite (1) linux (5) login (1) mrtg (1) nat (2) networking (4) opnsense (2) php (5) php curl (1) plesk (3) plugin (2) router (3) session hijacking (1) sicherheit (2) snmp (1) standard gateway (1) support (1) suricata (1) switch (3) tdd (1) testing (1) ubuntu (3) version (1) video copilot (1) vmware (1) web agentur (1) Windows Server 2012 R2 (2) wordpress (5)
Meta

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close