[网鼎杯 2018]Comment

最新推荐文章于 2024-08-11 20:20:49 发布
最新推荐文章于 2024-08-11 20:20:49 发布
阅读量194 收藏 1
点赞数
分类专栏: CTF WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/K1ose/article/details/115093312
版权
博客内容涉及了一次XSS攻击尝试,通过源码发现git泄露,使用gitExtract恢复源代码。分析代码发现存在SQL注入点,通过构造特定payload,成功执行SQL命令,获取了数据库信息。尝试利用load_file()函数读取敏感文件,最终在/etc/passwd中找到线索,并解码获取了相关信息。
摘要由CSDN通过智能技术生成

首先访问题目链接;
页面
试了一下xss,弹出一个登录框,需要登陆;
查看源码的时候发现了有write_do.php这个文件;
想到会不会有git泄露;
我用的是gitExtract;
发现果然有git泄露,看看源代码;
git泄露
看看都拿到了什么文件;

下载的文件
第一个write_do.php中代码有缺省的情况,看了网上发现大家都用的是git恢复;
第二个文件write_do.php.8ef569就是源代码文件了,具体我也没有去分析GitExtract的代码是什么,可能是直接就尝试git恢复了;
这里把源码贴出来好分析;

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

分析代码可以看到,当do参数为write的时候,有:

    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;

categorytitlecontent参数以post方式上传,addslashes()函数对其进行转义;

这里还有一张board表,通过:

insert into board set category = $category',title = '$title',content = '$content'";

这个危险语句,将这三个参数插入表中;

当do=comment的时候,有:

    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);

bo_idcontent参数以post方式上传,addslashes()函数对其进行转义;
在board表中,select出id=$bo_id的category值;
如果有返回信息,则$category等于select出的category值;
最后插入表中;

先暂时分析到这里;
回头看看登录框的提示;
有提示的登录框
zhangwei***,这是赤果果的提示啊,直接爆破试试;
这里还是从0开始,因为我选的是Numbers字典
跑出来了一个666

爆出密码
登陆进去后可以xss,但是没有什么作用,于是把目光重新放在代码上;
这里有xss漏洞

从前线的do=comment代码段中可以抽离出关键的代码进行分析;

$sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";

我们可不可以尝试闭合第一个参数的输入,即category,然后让content等于想要获取的内容,再注释掉原来的content?
这也就意味着,我们需要构造这样的payload;

payload
如此,我们可以达到这样的效果:

$sql = "insert into comment
            set category = '',content=database(),
                bo_id = ''";

真不错,赶紧试试能不能拿到有用的东西;
上传效果

接着在留言里输入*/#,即可select到database();
ctf

后续的注入就没有显示了,是我太菜了吗;
难受
既然能用函数,就想到读文件函数load_file(),赶紧试试;
试试能不能直接读flag;
读flag
果然都是梦;
梦想破灭
最后在/etc/passwd里发现了好东西;
最后一行
我是www用户,我爱bin/bash
读一下.bash_history
读.bash_history
看到了“隐秘的角落”里留下的痕迹;
在这里插入图片描述
可以看到,cd /var/www/html,凶手在这里作案,虽然在案发现场抹除了痕迹,但是却忽略了/tmp/html.zip,该包解压后,里面应该有一个.DS_Store,读读看看里面都是什么见不得人的东西;

读.DS_Store
我怎么看不太懂这个东西???
?
view-source一下,看来是乱码了,先hex()编码一下;

在这里插入图片描述
然后读一下hex编码的内容;
可以,很长
解码;
可以看到蛛丝马迹;
flag
flag_8946e1ff1ee3e40f.php

读一下flag
php文件会在/var/www/html/目录中
可以拿到hex编码后的php文件内容;
在这里插入图片描述
解码得到flag;

<?php
	$flag="flag{b20ed84a-e040-4717-a64e-0c1df3b9ae03}";
?>

flag{b20ed84a-e040-4717-a64e-0c1df3b9ae03}

K1ose
关注
专栏目录
慕课网数据库
张晨光老师的播客
02-28 2183
javaEE慕课网数据库 /* Navicat MySQL Data Transfer Source Server : localhost_3306 Source Server Version : 50717 Source Host : localhost:3306 Source Database : mooc Target Server ...
二次注入(2018网鼎杯comment
qq_64395221的博客
08-05 866
先进入/tmp目录,解压缩了html.zip文件(得到/tmp/html),之后将html.zip删除了,拷贝了一份html给了/var/www目录(得到/var/www/html),之后将/var/www/html下的.DS_Store文件删除,但是/tmp/html下的.DS_Store文件没有删除,查看一下,然后因为这种文件直接读取通常存在乱码,所以要转进制读取才行。/*是php的注释符,将后边的引号注释掉。在评论区提交*/#,/**/形成闭合后,将content注释掉了,同时也绕过了引号。
网鼎杯2020朱雀组-web
ChenZIDu的博客
05-18 3073
nmap那题就基本命令然后还有一个别的方法。 nmap 源码 index.php <? require('settings.php'); set_time_limit(0); if (isset($_POST['host'])): if (!defined('WEB_SCANS')) { die('Web scans disabled'); } $host = $_POST['host']; if(stripos($host,'php')!==false){ di
comment hive_Hive中基本语法
weixin_39676021的博客
02-01 2922
1.Hive中数据库基本操作1.1 Create/Drop/Alter/Use Database```CREATE (DATABASE|SCHEMA) [IF NOT EXISTS] database_name[COMMENT database_comment][LOCATION hdfs_path][WITH DBPROPERTIES (property_name=property_value,...
pgsql之Comment命令
深海微澜
11-01 5100
参考 Comment命令:定义或者改变一个对象的评注 语法: COMMENT ON { TABLE object_name | COLUMN table_name.column_name | AGGREGATE agg_name (agg_type [, ...] ) | CAST (sourcetype AS targettype) | CONSTRAINT cons...
BUUCTF之[网鼎杯 2018]Comment
m0_62107966的博客
09-15 1028
BUUCTF之[网鼎杯 2018]Comment 输入:*/# sql语句是换行的,所以我们无法用 单行注释符,必须用/**/拼接,用#闭合sql语句使其执行。可以看到执行成功,返回ctf这个库。首先发帖的时候必须登录,爆破弱密码登录,得到666是满足的后三位密码的。是一个类似留言板的界面,考虑二次注入,并且有git源码泄露。接下来尝试sql语句注入都失败了,看了大佬的wp,用sql来读取文件。在cmment中,对于category的值从数据库取出来没有进行转义
[网鼎杯 2018]Comment(二次注入,git泄露,git恢复)
qq_45521281的博客
04-12 3323
进入题目是这样的 要发帖还必须登录 在这里已经给了你用户名并提示了密码;密码隐藏了后三位,我们可以用爆破爆破后面三位的方法: 由爆破状态码的密码后三位为666,登录进去就可以发帖了。接下来用dirsearch扫描,发现存在.git文件 那应该存在.git文件泄露,用GitHack下载发现有一个write_do.php,但是代码有缺失 查一下之前提交的版本,单独用git log不能全部显示,直...
审计练习14——[网鼎杯 2018]Comment
qq_43756333的博客
06-06 407
平台:buuoj.cn 打开靶机是个留言板 发帖需要登录,只缺密码的后三位,burp爆破即可 扫下目录 git泄露,githacker源码下下来 write_do.php 显示不全 历史文件恢复一下 完整代码如下 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./login.php"); die(); } if(isset($_GET[
网鼎杯---comment
aimnr的博客
08-11 369
发现需要密码进入。
mysql comment
最新发布
09-11
在MySQL中,`COMMENT`是一个用于添加注释的特性。它允许用户为数据库对象,如表、列、索引、触发器或存储过程等,提供额外的文字描述信息。这些注释不会影响数据本身,而是作为对数据库结构和逻辑的一种文档记录,可以帮助其他开发者更好地理解数据库的设计意图和功能。 例如,你可以使用以下命令来给某个表添加注释: ```sql ALTER TABLE table_name COMMENT 'This is a description of the table'; ``` 或者为列添加注释: ```sql ALTER TABLE table_name MODIFY column_name column_type COMMENT 'This describes the purpose of this column'; ``` 查看注释也很简单,只需要查询对应的`information_schema`视图: ```sql SELECT COLUMN_COMMENT FROM information_schema.columns WHERE table_name = 'table_name' AND column_name = 'column_name'; ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值