打开后我们发现login 和 join ,我们先join
其实,这里是有个post注入的
查注入的方法
首先我们打开bp抓包工具
右键选择复制到文件
我们发现这里的username可以进行post注入,后面就可以无脑注入了。
第二种方法
点击我们的admin
下载源码查看
Get()方法并没有对获取过来的url进行任何的过滤所以这里存在SSRF
这里我们对no传参发现有注入漏洞
从报错信息中我们可以得到网站的绝对路径,由于这里不存在回显,那我们便使用updatexml函数进行报错注入
这里我们发现回显的data不是很全,查阅资料,我们可以使用substring函数,进行分段输出然后拼接
这里是第一段
第二段,以此类推得到完整的一段反序列化函数
利用no参数进行注入,在反序列化中构造file文件协议,利用服务端请求伪造漏洞访问服务器上的flag.php文件
Payload:?no=0/**/union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
因为这里对union select 进行了过滤所以我们加/**/或者++进行绕过
最后进入点击src的链接
将base64后面的解码就得到了flag
攻防世界XCTF fakebook
最新推荐文章于 2023-06-27 11:04:03 发布