BUUCTF-Web Comment

dirsearch扫出/.git/目录

 

遂用航神写的Githacker脚本   https://github.com/wangyihang/githacker

出来的源码并不完整,使用git log --reflog查看下记录

 

 选择第一条修改的记录的commit执行git reset --hard bfbdf218902476c5c6164beedd8d2fcf593ea23b

这是恢复后的源码

 1 <?php
 2 include "mysql.php";
 3 session_start();
 4 if($_SESSION['login'] != 'yes'){
 5     header("Location: ./login.php");
 6     die();
 7 }
 8 if(isset($_GET['do'])){
 9 switch ($_GET['do'])
10 {
11 case 'write':
12     $category = addslashes($_POST['category']);
13     $title = addslashes($_POST['title']);
14     $content = addslashes($_POST['content']);
15     $sql = "insert into board
16             set category = '$category',
17                 title = '$title',
18                 content = '$content'";
19     $result = mysql_query($sql);
20     header("Location: ./index.php");
21     break;
22 case 'comment':
23     $bo_id = addslashes($_POST['bo_id']);
24     $sql = "select category from board where id='$bo_id'";
25     $result = mysql_query($sql);
26     $num = mysql_num_rows($result);
27     if($num>0){
28     $category = mysql_fetch_array($result)['category'];
29     $content = addslashes($_POST['content']);
30     $sql = "insert into comment
31             set category = '$category',
32                 content = '$content',
33                 bo_id = '$bo_id'";
34     $result = mysql_query($sql);
35     }
36     header("Location: ./comment.php?id=$bo_id");
37     break;
38 default:
39     header("Location: ./index.php");
40 }
41 }
42 else{
43     header("Location: ./index.php");
44 }
45 ?>

回到题目的登录界面,根据提示对密码后三位进行爆破,最后得到密码:zhangwei666

进入留言板,审计源码可以发现存在二次注入。三个参数存入board表的时候进行了转义,但之后查询的时候没有转义,造成二次注入。

 

 sql语句有多行所以使用/**/过滤

在category

构造payload

 

 在留言区提交*/#闭合就能显示结果了

 

 

 

 

 利用load_file()读linux文件

www用户对bash进行了操作,查看.bash_history

 

 发现.DS_Store文件

文件显示不全利用hex()读文件

 

发现flag文件

 

查看该文件,解码后得flag

 

点赞

发表评论

昵称和uid可以选填一个,填邮箱必填(留言回复后将会发邮件给你)
tips:输入uid可以快速获得你的昵称和头像