xctf之Background_Management_System
打开网址,主页如上。
发现存在用户注册以及登录功能。
如果熟悉thinkphp的同学,就会看出,这道题用的就是thinkphp框架,其中可能会存在二次开发的代码。👀
在个人信息处,发下提示admin用户,才可以有信息提示。
万事不绝,先扫为敬。目录扫描后,发现存在一个www.zip,不用说这肯定是源码。先下载下来看下。
这一看就是thinkphp。。有一说一,对待这种框架,我就没想过一开始就搞代码审计,对待这种比较成熟的框架,我觉得还是翻一翻配置文件或者日志。
在日志文件中,找到的用户密码全部尝试了,都没用。但是发现一个奇怪的地方,登录用户admin’#。再看下其它的日志文件。
看着日志文件,我咋看,咋觉得这个存在二次注入漏洞呢。
看下源码。
看到注册功能源码,发现username字段处并没有过滤 ’以及# 。过滤的基本就是一些sql函数以及=之类的。
我们再看下个人信息处的修改密码功能。
密码修改的功能,我们发现此处的username过滤情况和注册处的一致,也就是说只要在注册的时候,admin’#如果可以注册成功,就可以成功的
这个时候我们就可以利用二次注入进行修改admin用户的账号了
成功获取到admin用户的信息,发现下面提示了一个页面。
感觉好像是存在ssrf漏洞。
使用http协议访问,提示如下:
使用burp爆破下协议。
发现,gopher好像可以。
已知,在public文件夹下存在shell.php文件。
发现shell.php可以执行。
ls /发现无法执行,ls后的要加的是+。
发现/flag文件。
成功获取到flag。
总结
这道题结合sql二次注入,ssrf漏洞,伪协议访问,以及最后的符号编码问题,总体来讲难度,中等。尤其是最后的编码问题,?需要二次url编码,空格被过滤,需要使用+进行连接,并且需要+进行编码。
参考链接
官方writeup:https://adworld.xctf.org.cn/challenges/write-up?hash=0b1a9c16-517e-4059-b754-ac2c7d546527_2