进入环境,发现是一个账户登录注册的界面,使用dirsearch进行扫描,扫描到了login.php,robots.txt,view.php均访问一下,看到robots.txt文件中存在一个user.php.bak文件,删除bak后缀,发现是php源码文件。
先不管,我去试试注册一个账户。注意blog处必须是网址,
登录进去,点击用户名,查看源码,没发现什么有用的信息,看到一个src
观察观察url,测试是否存在sql或模板注入。
输入’报错,存在sql注入,且为数字型,使用报错注入,返回一句 no hack 猜测使用黑名单了,使用联合查询,同样的问题。看了别人的wp,说这里是检查了union select ,可以使用/**/或++进行绕过。没回显,修改原始参数为2,果然又是只显示了一条查询。
这里得到第二字段会回显,并且文件位置在/var/www/html/view.php。继续注入,得到数据库中存在一个users表,表中含有no,username,passwd,data,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS 字段,查看username,passwd字段内容,不对,这个内容就是我刚刚注册的,没有其他用户的,对我来说没用啊,看看data字段,返回值是序列化后的值
这个值和刚刚下载的源码能对上,然后我不知道怎么利用了,回去看源码,进行代码审计,curl可以使用伪协议file:///文件路径查看文件。
猜测我们的四个字段分别是no,username,passwd,data,而blog刚好是字段data的参数值,所以我们在这里进行一个传参,这个参数需要使用序列化后 的值。构造payload:?no=2 union/**/ select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:18;s:4:"blog";s:29:"file:///var/www/html/flag.php";}',查看源码,得到编码后的flag值,本来像复制然后解码,结果直接跳转了
得到flag:flag{c1e552fdf77049fabf65168f22f7aeab}
第二种方法是直接使用mysql中的load_file()函数读取一个文件,并将内容作为字符串返回。
构造payload:2 /**/union /**/ select 1,load_file('/var/www/html/flag.php') ,3,4#
查看源码,得到flag。
516
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
