wp-fakebook(攻防世界/buuctf)【多解法详解】

最新推荐文章于 2024-05-07 11:13:51 发布
最新推荐文章于 2024-05-07 11:13:51 发布
阅读量345 收藏 2
点赞数
分类专栏: WP 文章标签: php 数据库 渗透测试 wp 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bin789456/article/details/120658291
版权

信息概览

题目本身大致有注册和登陆两个入口
注册并登陆后情况如下:
在这里插入图片描述
用扫描工具非常容易就能找到robots.txt
(随便用一个都可)
在这里插入图片描述
找到备份
在这里插入图片描述
源码:

<?php

class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

对于这种链接直接链过来,很容易让人想到远程文件包含,但是这里暂时有屏蔽的waf,先看看其他的
除了这些,登陆之后的url看起来也非常可疑。
在这里插入图片描述

用其他参数试试
在这里插入图片描述
报出错误,看来问题很有可能就是这里了
根据报错内容,获得服务器文件位置
常规探测一下:
在这里插入图片描述
肯定没有这么简单
sqlmap试试这个点
在这里插入图片描述
在这里插入图片描述
能够确认一些型号,不过貌似直接从这进不太行。
别忘了注册时还有post的数据,将其用vim储存下来,通过文件从这用sqlmap看看
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
查看到库和序列化后的账号(刚注册的)
目前我们大致的到的信息就是这些,接下来给出几种解法。

SQL绕过

这里是因为第一次sqlmap时回应有这样一句
在这里插入图片描述
已经测试出可用是cloumn是4,只是从这里开始就一直在失败。说明很有可能设有waf,想办法绕一绕。
已经知道现在的基本payload为 2 union select 1,2,3,4#
基本绕waf,那就是空格替换,大小写混写,双写慢慢试咯。
这里非常简单,就是一个空格替换,之前也有写过文章,可以看看:

替换链接学习

在这里插入图片描述
输入后暴露出利用位置 上面出现了2,用load_file()和之前报出的文件路径猜测flag位置
在这里插入图片描述
查看源代码即可
在这里插入图片描述
(当然利用这里也可以获取数据库相关信息,不过在信息获取的阶段我们已经成功,就不再赘述)

反序列化+ssrf

上一个方法中我们回显到这里时,还有一个点值得关注:
在这里插入图片描述
那就是unserialize(),这里很明显要进行一个反序列化,再结合前面sqlmap的数据
在这里插入图片描述
反序列化的结果就是会展现的资料(name,blog等等),反序列化的位置就是data那一列,那一切都对上了,当我们select 1,2,3,4时,代表的就是no,username,passwd,data,展现出来的值就是从data 中反序列化出来的。如果我们输入的值有误,那么反序列化失败,自然也就报出这样的错误,那么如果反序列化成功会怎么样?

自然我们最能想到的就是第4位置,来试试吧:

payload:

?no=2 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:5:"sdmin";s:3:"age";i:123;s:4:"blog";s:11:"www.acc.com";}'#

在这里插入图片描述
页面按照你的设想返回了(改了名称,将网址更改成了www.acc.com
这里就可以使用ssrf,服务端请求伪造漏洞,在服务器上的flag.php文件,网站配置文件的物理路径(同时也是flag.php的路径),PHP反序列化。

整理出思路:利用data参数进行注入,在反序列化中构造file文件协议,利用服务端请求伪造漏洞访问服务器上的flag.php文件。
所以payload:

2 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:5:"sdmin";s:3:"age";i:123;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'#

在这里插入图片描述
这样就可以对目标进行请求了,最后查看源代码:
在这里插入图片描述
iframe已经出现了,解码一下:
在这里插入图片描述

sayo.
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界--fakebook
m0_67467924的博客
05-22 531
继续注入,得到数据库中存在一个users表,表中含有no,username,passwd,data,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS 字段,查看username,passwd字段内容,不对,这个内容就是我刚刚注册的,没有其他用户的,对我来说没用啊,看看data字段,返回值是序列化后的值。构造payload:2 /**/union /**/ select 1,load_file('/var/www/html/flag.php') ,3,4#
CTF[网鼎杯]Fakebook
她叫常玉莹
08-25 617
robots中发现 user.php.bak文件 下载文件 <?php class UserInfo { public $name = ""; public $age = 0; public $blog = ""; public function __construct($name, $age, $blog) { $this->name = $name; $this->age = (int)$age;
FakeBook BUU CTF WP
python_xhb的博客
11-20 559
FakeBook BUU CTF WP
2024年网络安全最新CTF_WP-攻防世界web题解(1),2024年最新这原因我服了
最新发布
2401_84264692的博客
05-07 1171
参考:https://www.cnblogs.com/gradyblog/p/16989750.html查看源码提示source.php并且还提到了一个hint.php,查看提示flag在这个里面先看前面的源码source.phprequest接收参数file,判断是否为空、是否是string、checkfile如果满足,则包含file否则打印滑稽所以应该是要把ffffllllaaaagggg文件包含进file,关键就是怎么绕过checkfile。
BUUCTF__[网鼎杯 2018]Fakebook_题解
风过江南乱的博客
07-04 2027
BUUCTF__[网鼎杯 2018]Fakebook_题解
[网鼎杯 2018]Fakebook -wp
freerats的博客
06-27 384
打开容器,发现页面里有注册页面和登入页面 任意注册一个用户名,进行登入 在blog处发现有xss,一开始研究了半天,然后卡住了,参考别人的wp才发现这道题跟xss没有半毛钱关系。。。 view.php?no=1 在这里是有注入点的 加个引号报错还会爆出绝对路径 发现union被过滤,但/**/union/**/可以绕过 列名 然后查看一下字段 查询到data发现这里面是以序列化的形式储存的 这道题的最关键还是是通过目录扫描发现有robots.txt,进而发现/user.php.bak 其实还可以跑出有f.
fakebook-backend:学习个人项目探索MERN堆栈
04-10
Fakebook后端(express和mongodb)(这是一个学习/探索MERN堆栈的个人项目)入门: 确保已安装节点克隆仓库在fakebook文件夹中,创建一个带有dev.env文件的配置文件夹设置环境变量:PORT:value,MONGODB_URL = ...
Fakebook-Day2:在第2天之后,在完善蓝图功能之前
03-31
在“Fakebook-Day2:在第2天之后,在完善蓝图功能之前”这个项目中,我们主要探讨的是如何利用Python编程语言来构建一个类似Facebook的社交网络平台。在第二天的开发阶段,我们的重点在于完善项目的蓝图(Blueprint)...
fakebook:Facebook的克隆
05-23
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) ...
mp12_social_network_fakebook_person
05-15
Mp12-社交网络(Fakebook)(人)[ManyToMany] 该应用程序将具有一个名为Person的实体,可以通过/ persons端点进行管理。 帖子将添加一个人,获取将显示所有这些人。 为了使一个人与另一个人成为朋友,我们将向终端...
facebook-rockin-最佳自动化-selenium-scrape-no-api-tool-bot-machine-made-to-destroy-facebook:Facebook自动化:登录,喜欢,共享,评论,发布,删除。 包含视频“实际中”。 目的主要是通过在Fakebook平台中填充垃圾内容来破坏Fakebook平台(例如,当您决定离开所有这些Fcking平台时,在其中自杀)。 请安装,测试并提交您自己的改进和功能! 谢谢!
03-03
facebook-rockin最佳自动化Selenium消除无api工具的机器人机器做成销毁facebook ... 特征: 一切都是使用Selenium进行的,没有使用API 可见/无头模式 登录 获取/缓存朋友 遍历时间线 给个赞(也是不同的类型) ...
攻防世界—-(web进阶)FlatScience–WP
12-14
打开题目: 发现都是pdf文件。看不懂 先来一套广播体操:我用的是御剑和AWVS 发现两个有趣的页面: 1.login.php 2.admin.php (还有一个robots.txt, 打开之后也是指向上面两个页面的) 先试一下admin.php,尝试几个密码登陆没有结果。 查看页面源代码 有提示,就先暂时先不考虑弱口令 打开另一个页面login.php 查看源代码,依旧有提示 按照提示转到login.php?debug页面 成功读取源代码 创建了一个SQLite3对象,查阅得知是一个数据库 在下面这句话里存在注入 参考网上的WP 查询字段: 构造查询密码的SQL:usr=' UNI
攻防世界-web新手区wp
博客
08-15 1383
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 攻防世界—web新手区wp1.view source2.robots3.backup4.cookie5.disabled_button6.weak auth7.simple php8.get_post9.xff_referer10.Webshell(文件上传)11.command_execution(命令执行)12.simple_js(代码审计)@总结 1.view source 提示:X老师让小宁同学查看一个网页的源代码,但小宁同学发现
CTF笔记 攻防世界 fakebook
qq_51248658的博客
10-10 1274
第一次做,拿到题目一开始就被注册难住了,blog该填啥???于是忍不住直接就去看wp了。。。。。。后面过了一段时间再去做发现,除了注册,后面还是没有思路,只是隐约记得有个反序列化。。。。这里就记一下,加深以下印像。第一次认真跟着大佬的wp一步步做下来,学到了很多,sql注入那里还是有些薄弱,判断闭合的时候总想不到直接空格,多积累吧。。。。
BUUCTF Fakebook
venu_s的博客
03-24 294
Fakebook 1.题目 2.先随便注册一下,并查看网页源码,发现如下页面 3.判断注入点,发现?no=1存在注入 4.判断字段数,order by 长度为4(这里对空格进行了过滤,可以用++代替) ?no=0++order++by++4--+ 5.得到当前库名 ?no=0++union++select++1,database(),3,4--+ 6.得到表名 ?no=0++union...
网鼎杯2018 fakebook
feng的博客
10-28 319
知识点 PHP反序列化 备份文件下载 SSRF SQL注入 前言 我就是fw…又没解出来,主要的问题还是在自己身上,当时sql注入读了username,以为就是我输入的,就没继续爆破了,没想到data居然是序列化的,还有就是SQL注入学的还不好,导致自己没能解出来。 WP 首先进入环境,有join和login。先用dirsearch扫一下目录,发现存在robots.txt,访问发现存在user.php.bak备份文件。下载下来: <?php class UserInfo { publi
攻防世界fakebook
qq_46230755的博客
01-10 222
打开后注册一个账户,进入个人主页 发现上面存在注入点,先试一下改点数字 发现存在报错 尝试输入 view.php?no=1 and 1=1# view.php?no=1 and 1=2# 第一个显示正常,第二个报错,确定存在注入 开始注入的测试,第一步查 存在的字段,利用order by联合查询,发现5不存在,所以应该为4位字段数。 view.php?no=1 order by 5# 接着利用联合查询语句想找哪个字段可以回显利用,为了不让我们构造的select语句与原来语句的结果混在一起,将原
BUUCTF:[网鼎杯 2018]Fakebook
末初的CSDN博客
11-06 1955
题目地址:https://buuoj.cn/challenges#[%E7%BD%91%E9%BC%8E%E6%9D%AF%202018]Fakebook 查看robots.txt,发现user.php.bak 下载user.php.bak <?php class UserInfo { public $name = ""; public $age = 0; public $blog = ""; public function __construct(.
BUUCTF—WEB-WarmUp
热门推荐
迷风小白
06-25 1万+
拿到题目,一个表情包,顺便扫一下目录

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值