记一次学习--[网鼎杯 2018]Comment二次注入

于 2024-08-08 16:10:35 发布
阅读量499 收藏 12
点赞数 9
文章标签: 安全 学习 sql注入 二次注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/banliyaoguai/article/details/140967230
版权

目录

本文章只展示二次注入过程,后续获取flag并不展示

靶场

网站流程、密码的破解和目录的查询以及对于源代码获取

密码暴力破解

网站目录扫描

网站源代码获取

网站流程

尝试注入

注入代码

本文章只展示二次注入过程,后续获取flag并不展示

靶场

可以进入在线的ctf靶场

网站流程、密码的破解和目录的查询以及对于源代码获取

首先刚进来有个留言板可以发帖

密码暴力破解

当你点击发帖的时候会提示你要登陆

登陆已经给你了部分信息这个时候可以使用bp抓包然后暴力破解一下

抓到的包

尝试暴力破解,暴力破解出密码为666尝试登陆、登陆成功,但是没有什么作用

网站目录扫描

使用dirmap或者dirsearch扫描该网站,它会有一个.git文件。.git文件可以理解为github本地仓库的一个数据库文件,也就意味着只要.git泄露就有可能还原你在本地提交的所有代码,如何还原你可以用手工,也可以用工具githack

扫描出来的目录文件

网站源代码获取

使用githack扫出来了

现在我们来看一下源码

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

网站流程

这里看它前端页面,这里请求的页面就是write_do.php这就是刚刚扫出来的页面源代码

看源码开关语句的结果等于write的结果,这里是没有办法注入的,这里的原因是应为categriy、title、content都被addslashes过滤函数保护了,当你提交了上面三个参数,他会将三个参数提交道数据库里面

下面comment是在留言版的详情里

点击详情就会跳转到comment.php的页面里

在comment.php点击提交的话就会跳转页面会write_do.php中

尝试注入

然后对于网站代码的分析,我们发现代码等于write的时候是没有办法进行注入的,也就是下面这一块

然后再往下看,再开关为comment下的bo_id也不可以进行注入了因为被过滤了

再往下看

sql变量中的category是没有过滤的,虽然他在插入数据库的时候是进行了过滤的,但是你要是插入了'的话插入的数据是被转义了,但是入库的时候‘是不会被转义的,也就是进入数据库后你的转义字符会消失

category处输入 ',content=database(),/*

content处输入*/#

这个时候再往下看刚刚再数据库查到的值在这里使用这不就可以进行注入了

注入代码

这里有一个需要注意的点,上面代码中是多行需要多行注释,将content注释掉

前面的'是为了闭合category的单引号,/*是为了注释掉下面的content

然后content处的*/#是为了和前面的多行注释配合,然后#是为了注释掉content原本的'
 

category处输入 ',content=database(),/*

content处输入*/#

然后这里content是后面详情里的content

 

然后我们是在详情里写代码,conment的注释代码

database()已经被读出来了

板栗妖怪
关注
  • 9
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
buu-[网鼎杯 2018]Comment
qaq517384的博客
10-13 295
进入题目 发帖时提示要登录,密码用bp跑出来是666 然后这个发帖形式很像上一题的二次注入,先构造sql语句,后面在留言界面输出 稍微试了一下,有问题的都发不出留言 在f12控制台发现这样一句话后,在url后添加.git被403禁止了,说明有git泄露 githack载下来的源码跟没载一样 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./l
NX二次开发UF-CLONE-ask-ci-comment-checking 函数介绍
06-20
NX二次开发UF_CLONE_ask_ci_comment_checking 函数介绍,Ufun提供了一系列丰富的 API 函数,可以帮助用户实现自动化、定制化和扩展 NX 软件的功能。无论您是从事机械设计、制造、模具设计、逆向工程、CAE 分析等领域...
2018-Comment-网鼎杯复现,二次注入
a15183865601的博客
08-05 241
所以在category处写入单引号,通过addslashes函数会加上反斜线,入库时mysql会去掉反斜线,最终category查询出来就没有反斜线。分析代码,在提交帖子时入库,在提交留言时会出库,而mysql在入库时会丢弃反斜线,所以可以使用二次注入,且取的是category。category加上单引号逃出单引号的限制,bo_id为数字,所以只有在content上写我们要查询的内容。提交后要去登录,但这里提示了账号密码,但密码后三位不知,可以尝试暴力破解。由于最终显示的是content的内容,
[网鼎杯 2018]Comment
Sk1y的博客
01-14 516
文章目录[CSCCTF 2019 Qual]FlaskLight解题过程payload1payload2payload3参考文章[RCTF2015]EasySQL解题过程payload参考文章[HITCON 2017]SSRFme解题过程payload参考文章[网鼎杯 2018]Comment解题过程payload参考文章 [CSCCTF 2019 Qual]FlaskLight 解题过程 f12中提示,GET方式传参search可以判断ssti 查看所有子类 ?search={{''.__class_
[网鼎杯 2018]Comment二次注入
weixin_63910421的博客
08-06 338
先进入/tmp目录,解压缩了html.zip文件(得到/tmp/html),之后将html.zip删除了,拷贝了一份html给了/var/www目录(得到/var/www/html),之后将/var/www/html下的.DS_Store文件删除,但是/tmp/html下的.DS_Store文件没有删除,查看一下,然后因为这种文件直接读取通常存在乱码,所以要转进制读取才行。此时需要我们登录,在这里给我们提示了用户名和密码,但是用户名后隐藏了后三位,所以我们可以考虑用爆破的方法爆破后三位。
NX二次开发UF-CLONE-set-ci-comment-checking 函数介绍
06-16
NX二次开发UF_CLONE_set_ci_comment_checking 函数介绍,Ufun提供了一系列丰富的 API 函数,可以帮助用户实现自动化、定制化和扩展 NX 软件的功能。无论您是从事机械设计、制造、模具设计、逆向工程、CAE 分析等领域...
caozha-comment(原生PHP评论系统)源代码
03-18
caozha-comment是一个功能强大的评论系统,采用原生PHP编写,不依赖任何框架,特点:易上手,零门槛,界面清爽极简,极便于二次开发。可以自动适配电脑、平板和手机等不同客户端。 caozha-comment安装使用: 快速...
laravel-comment:另一个很棒的Laravel项目的注释系统
02-03
另一个很棒的Laravel项目的评论系统。 版本兼容性 Laravel Laravel评论 5.0.x 0.1.x 5.1.x 0.1.x 5.2.x 0.1.x 5.3.x 0.2.x 5.4.x 0.3.x 对于>5.5您可以使用^1.0.0版本。 安装 通过作曲家 $ composer ...
comment_css_flask-comment_
09-29
标题中的"comment_css_flask-comment_"表明这是一个与Python Flask框架相关的项目,主要涉及评论功能的实现,并且可能特别关注CSS(Cascading Style Sheets)在界面设计中的应用。Flask是一个轻量级的Web服务器网关...
鸿蒙系统开发【加解密算法库框架】安全
2301_76813281的博客
08-02 936
本示例使用@ohos.security.cryptoFramework相关接口实现了对文本文件的加解密、签名验签操作。
供应链安全:黑客攻击 Nimble 包
weixin_47075747的博客
08-04 798
在软件开发领域,包管理器对于管理依赖项和简化开发过程至关重要。但是,这些工具并非对漏洞免疫。今天,我们将深入研究一个有趣的案例研究,了解我如何利用 Nimble 包管理器的漏洞来接管包并可能危害系统。系好安全带;这将是一次技术之旅。
发送邮箱调用接口时需要注意哪些安全事项?
DengHua2203的博客
08-02 424
发送邮箱调用接口时,确保安全性是一个复杂而重要的任务。通过以上措施,可以显著提高接口的安全性。AokSend,发送邮箱调用接口,API与SMTP无缝对接,一键触发,邮件秒达,营销快人一步!
乐凡三防平板|车载三防平板电脑:为行车安全提供保障
livefan的博客
08-05 378
1.提升行车安全:车载三防平板电脑可以实时显示车辆信息,为驾驶人员进行导航指引和路况提醒等,帮助驾驶人员更好地掌握行车情况,为行车安全提供重要保障。3.便于安装与使用:车载三防平板电脑设计紧凑、安装简便,有着多种安装固定方式,几乎可以匹配任意车载工作场所,比如叉车、堆高机、汽车、卡车等。1.防水防尘:车载三防平板电脑具备防水、防尘的性能,可以在恶劣的环境中保持正常工作。2.强大功能集成:车载三防平板电脑的功能多样,不仅具备导航、音乐、蓝牙等基本功能,还可灵活拓展NFC、航空插头接口等,以满足不同工作需求。
访问网站显示不安全怎么办?
joySSL_的博客
08-02 724
如果您还在使用http协议,那基本上所有的主流浏览器都是都不安全提示需要给网站安装部署一个SSL证书,有预算的话可以使用付费SSL证书,没有预算的话免费SSL证书也可以实现HTTPS。网站的SSL证书过期,或者域名不匹配,解决方式是点击右上角锁头标志查看证书,检查和更新证书,确保它有效、完整。网站被举报含有钓鱼、欺诈等非法问题,解决方法是联系报告方,证明网站已安全,同时全面检查网站,清除隐患。访问网站时显示“不安全”,针对不同的原因有不同的解决方式,下面是常见的几种原因和对应的解决办法。
鸿蒙系统开发【ASN.1密文转换】安全
2301_76813281的博客
08-02 726
本示例对使用@kit.CryptoArchitectureKit加密后的密文格式进行转换。@kit.CryptoArchitectureKit加密后的密文格式默认为以base64显示的ASN.1格式问题,通过对密文进行base64变换后得到字符数组,以16进制数字显示,再此基础上进行密文格式转换,从ASN.1格式转换为c1c3c2格式的裸密文,再以c1c3c2格式的裸密文进行解密,以验证密文转换的正确性。
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
最新发布
洛秋的博客
08-07 1064
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
AI技术如何重塑企业EHS安全健康环保体系,附实践案例
云说智数的博客
08-06 569
在某大型电子工厂中,AI系统通过分析生产数据和环境监测数据,成功预测了一起可能的化学泄漏事故,并及时通知了管理人员采取措施,避免了潜在的环境污染和人员伤亡。某化工厂在发生泄漏事故后,利用AI系统对事故进行了深入分析,不仅快速定位了泄漏源,还发现了操作规程中的缺陷,并据此更新了操作手册,提高了整体的安全管理水平。通过这些实际应用案例,我们可以看到AI技术在EHS管理中的应用潜力和实际效果,它不仅提高了风险管理的效率和准确性,还增强了企业对复杂EHS挑战的应对能力。
Android网络安全:如何防止中间人攻击
陆业聪
08-04 833
本文介绍了在Android开发中预防中间人攻击的方法,包括使用HTTPS加密通信、实施证书锁定、遵循SSL/TLS最佳实践和验证服务器主机名。这些措施有助于保护用户数据安全,提高应用程序安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值