【Web】入门题（二）

 

 （一）PHP代码审计

1、题目信息：

描　　述: WarmUp，PHP代码审计

2、解题思路：

打开靶机链接以后，是一张图片。查看源代码：

 看到源码页面，就知道是代码审计了，按照代码逻辑解题 

 3、解题过程：

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

查看代码，首先判断请求是否存在file字符串参数，然后将file参数放入emmm checkFile函数中进行判断。

当checkFile函数返回true后，通过include函数来加载file参数中的页面。

那么思路就比较明确了，file参数必须是在白名单内的：source或hint。那先试下hint：

 看来flag在ffffllllaaaagggg这个文件中。

又知道include是目录包含，那么只要绕过白名单检测并进行目录跳转就可以了：

checkFile函数$_page取file参数第一个问号之前的字段检查文件名是否在白名单内于是构造file参数为hint.php?/../../../../../ffffllllaaaagggg

hint.php?/被当作目录，之后上跳目录就好了

 4、思路总结

include可以跨目录包含文件

（二）SQL注入

题目：

SQL注入

解题：

启动靶机，是一个Web登录页面

简单输入单引号试下：

看报错是MariaDB直接没有做任何过滤，那么简单了，用通用的恒等式再加上mariaDB的注释符组合一下：

成功登录

 （三）HaveFun——代码审计

打开靶机，发现是一个动态页面：

看下源码：

 代码很简单，传入一个cat的参数，并且让值等于dog就可以了，试一下：

（四）php代码审计

题目：

ACTF 2020 新生赛 include 1

解题：

打开靶机，点击tips，发现跳转到新的页面，url中include存在文件包含漏洞：

但是只有一个flag.php，没有任何提示。

猜测可能是被注释掉了。

因为文件包含读取的是文件，而不是文件源码，内容里面是php代码的话就会执行。

尝试使用php伪协议来过滤读取，使其中的php代码失效

php://filter/read=convert.base64-encode/resource=xxx.php

得到一串base64字符串，解码得出flag：

（五）【强网杯 2019】随便注1

题目：

简单试了下，输入单引号出现报错，可以看出来是字符串注入，那么单引号闭合后输入恒等式：

一共三行数据，这里试了下union联合查询查其他字段，发现有waf过滤了select等关键字

尝试了注释、大小写等绕过均无效。

那就先尝试查一下其他内容：

查看数据库和表：

6个数据库，两张表，看下第一个表：

两个字段，其中有flag。再查了第二个表就能得出words表的data列中就是实际表单查询的用户名和id

将表1919810931114514名字改为words，flag列名字改为id，那么就能得到flag的内容了 

修改表名(将表名user改为users)
alter table user rename to users;

修改列名(将字段名username改为name)
alter table users change uesrname name varchar(30);

最终语句构造如下：

'; alter table words rename to words1;alter table `1919810931114514` rename to words;alter table words change flag id varchar(50);#

 然后使用1' or 1=1#即可查询出flag