[BUUCTF]-[网鼎杯 2018]Comment 详细解题

最新推荐文章于 2025-12-02 19:24:37 发布
原创 最新推荐文章于 2025-12-02 19:24:37 发布 · 390 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#buuctf #安全 #测试工具 #渗透工具 #githack #ctf

废话不多说

题目界面

在随意发帖后,发现需要登入,这个就比较鸡肋了,这是暗示你账号为zhangwei  密码为zhangwei***  这个*表示为某个字符,即zhangwei再加上某三个字符,然后burp遍历可以得出为666

账号:zhangwei   密码:zhangwei666

登入,任意发一个贴,然后可以留意,就想着发帖或留言地方可能存在注入

于是全部都单引号创建

发现无法进行留言了,果然是有猫腻的。

但是具体情况还需要探查,扫描发现有.git可以下载,于是利用自己写的win版本一键git下来了(封装了githack和所有分支下载)

通过网盘分享的文件:一键githack
链接: https://pan.baidu.com/s/1SVCez4xRjVhQ76UF6bewPQ?pwd=8880 提取码: 8880 

得到了一个版本的write_do.php

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    break;
case 'comment':
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

在继续看一下所有分支文件

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

发现了完整版本

可以看出$category存进去后,又在评论时候拿了出来,这就很符合二次注入

这里的addslashes可以对单引号进行转义,但是$category存在数据库中是没有被转义的,而且评论使用时候是多行命令,所以我们把$category写入特定sql注入并利用/**/注入,写入/*,然后评论时候利用*/封装多行注入,并用#注释本行来激发命令

',content=(SELECT database()),/*      和   */#

发现sql注入成功,于是正常sql获取信息

emmm最后发现字段里面没有东西。

然后我们尝试其他select

发现不能执行命令,也没有写权限,但可以读取,所以我们就利用selet load_file(文件)来读取文件,去直接找到flag

为了避免不可见字符,我们采用hex(load_file(文件))读取后ascii显示即可。

先读取/etc/passwd

发现只有www用户,在www/home使用了bash

然后读取home/www/.bash_history  文件,看看他使用了什么命令

发现是把文件移动到html,但是把.DS_Store删了,不想让人知道,但是tmp里面的还没有删,我们就去tmp里面读/tmp/html/.DS_Store

在这里发现了flag名称,然后就读tmp里的flag文件

emmm发现答案不对,这是一个过期的flag,于是我们之间去/var/www/html/flag_8946e1ff1ee3e40f.php读

获得最终flag

臻荣
关注
[ 2018]Comment1复现
m0_68976043的博客
08-06 824
BUUCTF在线评测首先我们通过靶场进入发现是一个留言板通过dirsearch收集目录获取一个重要资产目录,我们通过访问,很清楚是一个.get的源码泄露,我们尝试恢复一下,恢复工具为githacker工具安装: 开始恢复 恢复源码如下 2.2源码分析 2.2.1源码中写了一个get[do]这个参数 点击发帖我们可以看到而源码中这个地方没有注入点因为有addslashes(php中防注入函数)我们提交个数据看看详情,代码是走到了comment底下而这个地方很明显没有过滤而addslashes在
[buuctf] crypto全解——85-120(不建议直接抄flag)
ao52426055的博客
11-24 9330
yxx 查看题目 啥也不是没看懂 用010查看进制 32位,再来查看明文.txt发现刚好也是32位字符,于是怀疑这道题是道一次性密码本OTP的题目,将明文与密文的txt一位一位异或即可得到flag 上脚本 python2的 h=['0A','03','17','02','56','01','15','11','0A','14','0E','0A','1E','30','0E','0A','1E','30','0E','0A','1E','30','14','0C','19','0D','1F','10'
审计练习14——[ 2018]Comment
qq_43756333的博客
06-06 459
平台:buuoj.cn 打开靶机是个留言板 发帖需要登录,只缺密码的后三位,burp爆破即可 扫下目录 git泄露,githacker源码下下来 write_do.php 显示不全 历史文件恢复一下 完整代码如下 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./login.php"); die(); } if(isset($_GET[
BUUCTF Web 第二页全部Write ups
yym68686
07-09 2283
目录[强 2019]高明的黑客[BUUCTF 2018]Online Tool[RoarCTF 2019]Easy Java[GXYCTF2019]BabyUpload[GXYCTF2019]禁止套娃方法一方法二方法三[BJDCTF2020]The mystery of ip[GWCTF 2019]我有一个数据库[BJDCTF2020]Mark loves cat[BJDCTF2020]ZJCTF,不过如此[安洵 2019]easy_web[ 2020 朱雀组]phpweb[De1CTF 201
BUUCTF Web 第一页全部Write ups
yym68686
03-26 2455
更多笔记,可以关注yym68686.top 目录[极客大挑战 2019]Http[ACTF2020 新生赛]Exec[极客大挑战 2019]Secret File[HCTF 2018]WarmUpReferences[极客大挑战 2019]EasySQLReferences[强 2019]随便注方法一方法二References[极客大挑战 2019]Havefun[SUCTF 2019]EasySQL方法一方法二References[ACTF2020 新生赛]IncludeReferences[极客大挑
CTFHub靶场 --题目:think_java
weixin_52221158的博客
08-18 683
推测与sql注入有关,打开sqldict.class,发现连接数据库的代码 以及数据库查询语句。让你看的是那个返回包里面的ctfhub账户名,说明这个账户名是被反序列化过后得到值。返回data,以rO0AB开头,java序列化,在身份认证处提交。相当于把服务器的token数据先base64解密,再反序列化。生成bin文件,在进行base64加密,文件更改名字即可。此处为请求地址,加入请求,并结合代码加入注入代码。开始入手,burp抓包,发至repeater。在该接口测试登录,try it out。...
BUUCTF web writeup
热门推荐
stepone4ward的博客
09-11 6万+
buuctf题目的部分writeup,持续更新中
[BUU刷题记录]day01-起步
anwen12的博客
12-13 5772
BUU-WEB 这是一个菜鸡的蜕变 先小记录一下题目环境部署必备的docker安装 sudo apt-get remove docker docker-engine docker.io containerd runc sudo apt-get update sudo apt-get install apt-transport-https ca-certificates curl gnupg lsb-release curl -fsSL https://download.docker.com/linux
buuctf刷题之旅之web(二)
qq_50589021的博客
08-19 6084
2021-5-23 [BUUCTF 2018]Online Tool 题目: <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GE
BUUCTF之[ 2018]Comment
m0_62107966的博客
09-15 1158
BUUCTF之[ 2018]Comment 输入:*/# sql语句是换行的,所以我们无法用 单行注释符,必须用/**/拼接,用#闭合sql语句使其执行。可以看到执行成功,返回ctf这个库。首先发帖的时候必须登录,爆破弱密码登录,得到666是满足的后三位密码的。是一个类似留言板的界面,考虑二次注入,并且有git源码泄露。接下来尝试sql语句注入都失败了,看了大佬的wp,用sql来读取文件。在cmment中,对于category的值从数据库取出来没有进行转义
2018点评-wdb_2018_点评.zip
10-28
文件名称列表中的“wdb_2018_comment-master”和“ 2018 Comment_wdb_2018_comment”暗示了压缩包内包含的文件可能是点评的主要文档。在安全领域,点评不仅包括对参赛队伍技术能力的评估,还包括了对比赛...
buu-[ 2018]Comment
qaq517384的博客
10-13 405
进入题目 发帖时提示要登录,密码用bp跑出来是666 然后这个发帖形式很像上一题的二次注入,先构造sql语句,后面在留言界面输出 稍微试了一下,有问题的都发不出留言 在f12控制台发现这样一句话后,在url后添加.git被403禁止了,说明有git泄露 githack载下来的源码跟没载一样 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./l
炎魂- 安全开发实习生面经
lingggggaaaa的博客
12-02 276
简单介绍自己,大概2min。
视频直播点播平台EasyDSS构建安全高效的医疗培训直播新体系
音视频流媒体技术
12-02 215
医疗培训的数字化转型不是简单的技术应用,而是医疗教育模式的深刻变革。
软件供应链安全“黑洞”:2025安全合规的制品库如何选择?
weixin_44552837的博客
12-01 350
软件供应链攻击频发,依赖组件不可控、流转管控缺失等问题凸显制品管理风险,制品库亟需安全合规的产品选择。国产制品管理平台可构建全生命周期防御体系,以可信源建设、上传即扫描、全链路追溯及信创适配筑牢防线,是企业研发制品仓库的选型优选。
安全站如何防范上传导致后门漏洞
最新发布
我想我是海 冬天的大海 心情随风轻摆
12-02 178
摘要:文章介绍了三种防范文件上传安全风险的方法:1)限制上传文件扩展名,仅允许安全格式;2)验证图片真实性,通过加载图片流检测有效性;3)在Web服务器配置中禁止上传目录执行脚本。这些措施能有效防止恶意文件上传攻击,保障安全
大模型生成(题目)安全
CSPhD-winston的博客
12-01 883
生成管道中加“自动验证器”(QA 模型交叉验证)、内容过滤器(toxicity / safety classifier)、可控生成(约束 prompt / planning),以及对抗训练来提高鲁棒性。可用指标:错误率(事实/逻辑)、不可答率(unanswerable)、有害性评分(自动 + 人工标签)、偏见强度(差异化统计)、选项/答案位置偏置、可解释性度量等。构建偏见题模板(性别/种族/阶级/文化敏感话题),通过语法/语义变换扩展(借鉴 JADE 型方法),评估不同模型在题目生成时露出的系统性偏差。
艾体宝新闻 | 应对新型 IoT 僵尸络攻击,ONEKEY 方案守护安全
虹科网络安全的博客
12-02 254
最近,安全圈爆出一起严重威胁:一种名为的新型僵尸络/恶意软件正被黑客用于利用物联(IoT)设备漏洞进行大规模攻击。ShadowV2 于 2025年10月底首次被发现,与当时一次全球范围的 Amazon Web Services (AWS) 中断事件时间吻合。黑客似乎借这次混乱测试其基础设施。恶意攻击通过 IoT 设备发起,形成“僵尸络 (botnet)”,以发动大规模分布式拒绝服务攻击 (DDoS) 为主要目的。
5.14、AI安全运维体系:构建企业级的“安全超脑”
骥龙信息的博客
12-02 385
未来的企业安全体系将呈现三个趋势: 1. AI 驱动,而非规则驱动 2. 自动化处理,而非人工疲于响应 3. 预测性防御,而非事后补救 AI 不是为了取代安全人员,而是让安全团队具备“超能力”。
-m comment --comment是固定搭配吗
10-16
是的,`-m comment --comment` 是 **固定搭配**,但需要理解其各自含义和作用。 --- ### ✅ 回答:是的,它是固定搭配,但有原因 #### 🔧 命令结构: ```bash -m comment --comment "这里是注释内容" ``` - `-m comment`:表示加载 `comment` 扩展模块(match 模块),用于添加注释。 - `--comment "..."`:指定实际的注释内容(最多 256 字符)。 > 这两者必须一起使用。只有加载了 `comment` 模块,才能使用 `--comment` 参数。 --- ### 📌 示例: ```bash iptables -A INPUT -s 192.168.1.100 -m comment --comment "Allow from server1" -j ACCEPT ``` 这条规则表示: - 允许来自 `192.168.1.100` 的流量; - 注释为 `"Allow from server1"`,方便后期维护。 --- ### 🔍 查看带注释的规则: 使用命令: ```bash iptables -nvL INPUT --line-numbers ``` 你会看到类似输出: ``` Chain INPUT (policy ACCEPT) num target prot opt source destination ... 10 ACCEPT all -- 192.168.1.100 0.0.0.0/0 /* Allow from server1 */ ``` 注释会显示在 `/* ... */` 中。 --- ### 🧠 小贴士: - 注释内容不能超过 **256 个字符**,否则会被截断或报错。 - 注释不会影响规则行为,仅用于**调试和维护**。 - 如果系统不支持 `comment` 模块(旧内核),该参数不可用。 --- ### ✅ 总结: | 语法 | 说明 | |------|------| | `-m comment` | 加载注释模块 | | `--comment "xxx"` | 添加注释内容 | | 固定搭配 | ✅ 是必须一起使用的组合 | ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值