网鼎杯comment二次注入

于 2024-08-04 23:45:39 发布
阅读量960 收藏 10
点赞数 14
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62903168/article/details/140912515
版权

靶机网址:BUUCTF在线评测

进来就是这个界面,点击发帖后需要进行登录。

从界面可以看出用户是zhangwei,密码是zhangwei***,密码的最后三位需要进行暴力破解。

这里需要用到工具Burp Suite进行抓包。

这就是抓到的包,我们把数据投放到Intruder模块。

在需要暴力破解的地方添加$符号。

最后可以看出只有666这个数字的length长度不一样,这就是密码的最后三位数,成功登录。

点击发帖可以看到这个页面,可以知道这就是要注入的地方。

具体需要怎么注入,注入的点在哪里,也是一无所知,这时就需要拉取源码了。

4.到此再次查看源码,看数据包,没有任何提示,这时猜测有源码泄露,扫描发现了.git泄露(访问/.git为Forbidden,我没有扫描,直接尝试出了点,buu扫描太慢了)
5.使用GitHacker得到write_do.php,发现不完全,给他还原一下
在kail上
先 pip3 install GitHacker

如何使用
githacker --url http://aa59014b-45fe-4bb2-b0a5-f3e6e5e91929.node4.buuoj.cn:81/.git/ --output-folder '/root/桌面/test' 
注:--output-folder (将得到的文件存放在那个文件夹里面)
进入write_do所在目录
git log --reflog  注:如果得到的文件内容不全,使用它之后
得到:commit e5b2a2443c2b6d395d06960123142bc91123148c (refs/stash) 有很多的这种的,从第一个一个试
然后:git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c 成功恢复内容

 拉取源码的方式。

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

这就是源码。

$category = addslashes($_POST['category']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
$category = mysql_fetch_array($result)['category']; 

分析这几行代码可以看出,数据进库又出库,这是一个典型的二次注入。

$category = mysql_fetch_array($result)['category']; 

因为在取数据时并没有对数据进行函数过滤,这就是此次注入的点了。

所以在开始写category的时候就要把数值写好,在后面将数据读取出来的时候就好方便注入了。

点击发帖。

除category外,其他的都可以随意写,再点击详情之后,在提交里留言处写*/#。

 $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);

因为代码处用了换行,所以单行注释是不行的,需要使用多行注释,并且使用#号将后面的单引号也给注释了。

注入成功,后面再通过基础的注入语句就能获取表名和数据,这里就不再赘述。

槐序深巷里打雨伞的人
关注
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
热门推荐
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
[网鼎杯 2018]Comment -----不会编程的崽
最新发布
不会编程的崽的博客
03-25 1106
网鼎杯 二次注入 Git泄露 弱口令
[网鼎杯 2018]Comment题解,超详细!
2202_75361164的博客
10-23 660
【代码】[网鼎杯 2018]Comment题解,超详细!思路加payload
BUUCTF之[网鼎杯 2018]Comment
m0_62107966的博客
09-15 983
BUUCTF之[网鼎杯 2018]Comment 输入:*/# sql语句是换行的,所以我们无法用 单行注释符,必须用/**/拼接,用#闭合sql语句使其执行。可以看到执行成功,返回ctf这个库。首先发帖的时候必须登录,爆破弱密码登录,得到666是满足的后三位密码的。是一个类似留言板的界面,考虑二次注入,并且有git源码泄露。接下来尝试sql语句注入都失败了,看了大佬的wp,用sql来读取文件。在cmment中,对于category的值从数据库取出来没有进行转义
网鼎杯 Comment 解题记录
weixin_44732566的博客
04-01 1825
网鼎杯 comment 2020年网鼎杯马上开始了,来做一下历年真题 打开题目 点击发帖-提交,跳转到一个登录界面,不过已经提升了用户名和密码 爆破后面三位,登录成功 登录进去就可以发帖了,但也不有想法,注入点试了不行,用dirsearch扫描,发现存在.git文件 那应该存在.git文件泄露,用GitHack下载发现有一个write_do.php,但是代码有缺失 查一下之前提交的版本,单独用gi...
[网鼎杯 2018]Comment
D.MIND 的博客
04-21 494
前言: 这是一道蛮有意思的题目,首先是有关Git的一些命令自己基本不懂,再之这是一道SQL二次注入的题目,可以通过读取/etc/passwd文件的方式追溯flag文件,长见识的一道题 文章目录前言:Git源码泄露git的一些基础命令源码分析利用方式/etc/passwd的字段解释: Git源码泄露 提示git源码泄露,用工具也确实能得到一个php文件,但文件内容不完整,这里卡住不会操作了,看师傅们是git log --relog恢复日志,然后git reset --hard e5b2a2443c2b6d3
Vant—van-field textarea 二次封装 高度自适应并设置最大最小高度
Poppy_LYT的博客
08-30 1万+
1、components新建CommentField.vue <template> <div class="comment-field-wrap"> <div class="comment-field__input"> <van-field :value="value" placeholder="请输入留言内容" rows="1" // 显示为一行的高度 type="texta.
4.1. 你真的懂SQL注入
Sumarua的博客
07-01 9944
4.1. SQL注入 内容索引:4.1. SQL注入4.1.1. 注入分类4.1.1.1. 按技巧分类4.1.1.2. 按获取数据的方式分类4.1.2. 注入检测4.1.2.1. 常见的注入点4.1.2.2. Fuzz注入点4.1.2.3. 测试用常量4.1.2.4. 测试列数4.1.2.5. 报错注入4.1.2.6. 堆叠注入4.1.2.7. 注释符4.1.2.8. 判断过滤规则4.1.2.9. 获取信息4.1.2.10. 测试权限4.1.3. 权限提升4.1.3.1. UDF提权4.1.4. 数据库检测
pgsql之Comment命令
深海微澜
11-01 5037
参考 Comment命令:定义或者改变一个对象的评注 语法: COMMENT ON { TABLE object_name | COLUMN table_name.column_name | AGGREGATE agg_name (agg_type [, ...] ) | CAST (sourcetype AS targettype) | CONSTRAINT cons...
审计练习14——[网鼎杯 2018]Comment
qq_43756333的博客
06-06 388
平台:buuoj.cn 打开靶机是个留言板 发帖需要登录,只缺密码的后三位,burp爆破即可 扫下目录 git泄露,githacker源码下下来 write_do.php 显示不全 历史文件恢复一下 完整代码如下 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./login.php"); die(); } if(isset($_GET[
网鼎杯一道web题(wafUpload)
洞若观火
08-23 1428
思路:burpsuite截取post数据包,上传木马,菜刀连接。 截取上传的数据包,对filename参数使用数组绕过,上传php.php,同时得到php.php路径。 附: PHP一句话木马:&lt;?php @eval($_POST['key']);?&gt; ASP一句话木马:&lt;%eval request['key']%&gt; ASPX一句话木马:&lt;%@ Page L...
[网鼎杯 2018]Comment二次注入,git泄露,git恢复)
qq_45521281的博客
04-12 3229
进入题目是这样的 要发帖还必须登录 在这里已经给了你用户名并提示了密码;密码隐藏了后三位,我们可以用爆破爆破后面三位的方法: 由爆破状态码的密码后三位为666,登录进去就可以发帖了。接下来用dirsearch扫描,发现存在.git文件 那应该存在.git文件泄露,用GitHack下载发现有一个write_do.php,但是代码有缺失 查一下之前提交的版本,单独用git log不能全部显示,直...
网鼎杯2018 comment
weixin_44377940的博客
03-20 2282
本次知识点 git恢复文件 二次注入 git恢复文件 如何判断是否可以恢复? 看是否有commit文件,如果没有,则需要恢复,像这题: 可以看到,
网鼎杯-writeup-第二场-babyRSA
TaiJi1985的专栏
08-24 3333
题目给出了 n , e , d 这样加密解密的所有要素就都有了。 加密用 (n,e) ,解密用 (n,d) 解密公式 MC = pow(C,d,n) ,即 密文C的d次方 模上 n。 当然题目给出的密文enc 是 Base64编码, 解码为字符串后,还要转换成 一个大整数。 用到了base64库和libnum库。 d = 1716675439857584250142326279...
ECShop PHP商城二次开发深度指南
3. 安全性:在进行二次开发时,确保遵循安全编码规范,避免SQL注入、XSS攻击等问题。同时,注意保护用户的隐私数据,如通过加密存储用户密码,限制敏感操作的权限等。 4. 性能优化:针对高并发场景,需要考虑缓存...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值