BUUCTF-web Easyweb

从这道题学到了挺多

一打开题目就是登陆页面,遂扫描文件检测是否存在文件泄露

BUUCTF-web Easyweb

 

 

 用dirsearch扫出了robots.txt,.DS_Store和其他php。DS_Store没有可用信息(buuoj的题扫描一定不能太快。。。。429警告)

BUUCTF-web Easyweb

打开robots.txt,要素察觉,有备份文件。

BUUCTF-web Easyweb

 

逐个尝试,发现了image.php.bak文件,分析一波源码

<?php
include "config.php";

$id=isset($_GET["id"])?$_GET["id"]:"1";
$path=isset($_GET["path"])?$_GET["path"]:"";

$id=addslashes($id);
$path=addslashes($path);

$id=str_replace(array("\\0","%00","\\‘","‘"),"",$id);
$path=str_replace(array("\\0","%00","\\‘","‘"),"",$path);

$result=mysqli_query($con,"select * from images where id=‘{$id}‘ or path=‘{$path}‘");
$row=mysqli_fetch_array($result,MYSQLI_ASSOC);

$path="./" . $row["path"];
header("Content-Type: image/jpeg");
readfile($path);

addslashes函数会在预定字符前加\,如果我们在id参数传入\0,经过addslashes函数处理就会变为\\0,然而后面的str_replace把\0置换为空,那
么我们插入的\\0就会变成\,把id参数后的‘转义。此时我们的sql语句如下
select * from images where id=‘or path=‘‘

可以在path参数进行注入,注释掉后面的单引号并用and 1=1构造注入

select * from images where id=‘or path=‘and 1=1--+‘

也可以利用path重新构造id进行注入

select * from images where id=‘or path=‘ or id=1--+‘

脚本如下

BUUCTF-web Easyweb

 

 注入这里搞了半天,密码比较长。把n的范围设到20才爆出完整密码

因为手工太慢了所以尝试了sqlmap

BUUCTF-web Easyweb

sqlmap牛逼!!不过这里有个坑。。。。\0前要加\转义让\失去转义功能,可以用v参数查看注入的payload来调整语句

查到用户名和密码登录之后发现上传点

BUUCTF-web Easyweb

随便传个文件,返回结果里显示有上传路径

打开之后发现是日志文件,用来记录上传的文件名

BUUCTF-web Easyweb

 

 

接下来思路就很清晰了,这是个php文件,并且会记录文件名。我们只需要把文件名改成一句话。上传之后就会被解析成php。一般的一句话会被拦截,因为出现了"php"。我们可以采用短标签<?=  ?>代替<?php  ?>

BUUCTF-web Easyweb

蚁剑连接,flag在根目录

BUUCTF-web Easyweb

 

BUUCTF-web Easyweb

上一篇:hibernate基础23:事务的隔离级别


下一篇:php实现循环链表