网鼎杯 fakebook

Posted 2020-11-24 cl0ud

这道题目登录之后我们可以看到有join和login

login即登录，join即注册

我们通过查看robots.txt可以知道

有源代码泄露。

先将泄露的源码下载下来审计一波

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))://)?)([0-9a-zA-Z-]+.)+[a-zA-Z]{2,6}(:[0-9]+)?(/S*)?$/i", $blog);
    }

}

可以看到泄露的是UserInfo这个类的源码，看其他师傅们的WP可以知道还可以扫出来flag.php的存在。

curl_exec — 执行一个cURL会话

因为我们要传递自己博客的网址，所以猜测这里是否能够通过file协议读取绝对路径下的文件。

接着在join里面虽然我们要输入自己博客的网址，但是其进行了非常严格的正则表达式过滤，所以想在这个位置运用file协议基本上是不可能了。

我们注册一个账号看看

注册成功即登录，可以看到我们输入的信息可以看到

这里就是我们输入的博客网址的地方，不过在join的时候如果输入除http/https以外的关键词就会被检测出来，所以我们点击test用户看是否有突破点

可以看到view.php后面的参数no，这里让我们很容易想到该地点是否存在SQL注入漏洞

简单测试一下

输入了and 1=2之后，页面报错，数字型注入，同时页面返回来网站的绝对路径，这正是我们需要的。

接着我们进行常规注入操作，不过因为有WAF的存在，我们使用union select 的时候需要将空格转换成/**/绕过，当然也可以用其他方法绕过

这里回显位置是2，我们可以看到爆出了数据，同时页面Notice里面提示了我们unserialize()，所以这里涉及了反序列化漏洞，我们先不管这个，进一步读取数据

可以看到data是序列化之后的结果，泄露的源代码里面也有getBlogContents函数，其配合get函数，恰好构造成SSRF漏洞， 并且blog的值我们可以通过构造反序列，利用file协议来进行任意文件读取 。

反序列化的payload我们直接依葫芦画瓢即可

O:8:"UserInfo":3:{s:4:"name";s:4:"test";s:3:"age";i:20;s:4:"blog";s:29:"file:///var/www/html/flag.php";} 

现在的问题在于我们应当将payload放在哪里，才可以使其正确的被反序列化。

答案是：在SQL语句里面控制

因为页面提示了我们反序列化，所以猜测no参数的值代入数据库查询之后还会被反序列化一次，这个时候就会导致blog变成我们构造的blog

后面分析view.php源代码也可以看出

所以我们将构造之后的序列化payload放进no参数SQL语句里面，即

view.php?no=-1/**/union/**/select/**/1,2,3,‘O:8:"UserInfo":3:{s:4:"name";s:4:"test";s:3:"age";i:20;s:4:"blog";s:29:"file:///var/www/html/flag.php";} ‘ from users

这里可以看到blog的值已经成为我们构造的了

查看源代码

当然用这个方法还可以查看view.php ，db.php等等文件，加深自己对题目的认识。