攻防世界:web fakebook

自己做已经找到了SQL注入漏洞了,但是后面盲注太慢了而且发现并没有什么有用的信息
找到了一个博客,写得很好,我梳理一下成为自己的东西
https://blog.csdn.net/qq_41500251/article/details/105383065

下面是它做题的思路:

先进行目录扫描

这个博主用的是webscan,我用御剑和dirsearch,可能有更好的
两个软件都差不多,在我第一次扫描的时候字典里面没有flag.php,所以扫不出来
所以:"及时更新字典非常重要"
攻防世界:web fakebook
攻防世界:web fakebook
但是打开flag.php是一片空白,有以下两种情况:

  • flag.php真的是空的
  • 服务器拒绝访问

一般第二种的可能性更大
所以可以考虑SSRF攻击实现对flag.php的访问

打开现有扫描文件

打开robots.txt
攻防世界:web fakebook
这个user.php.bak是一个备份文件,而这个文件是disallow,即不允许访问。
可能答案就在这里,访问
攻防世界:web fakebook
代码审计过后,发现这是一个GET博客的URL的一个代码
可能到后面有用

按照网页规则进行尝试

注册用户,账号密码,不存在二次注入漏洞
但是会报错
攻防世界:web fakebook
所以存在SQL注入,使用sqlmap进行扫描了,但是没有成功
使用报错注入,可以破解出所有的东西
但是这个服务器太慢了,像是故意不让爆破的
攻防世界:web fakebook

检查页面源代码

攻防世界:web fakebook
在下面存在一个PHP伪协议,猜想可能存在文件包含漏洞
在data后面接上flag.php的路径,就可以访问flag了
攻防世界:web fakebook
通过这个报错,很可能flag.php的路径和db.php的路径一致为/var/www/html/flag.php。
通过尝试,如此可以绕过waf
攻防世界:web fakebook
回显点是2那里,那么直接来:
攻防世界:web fakebook
攻防世界:web fakebook
攻防世界:web fakebook
http://111.200.241.244:60066/view.php?no=1%20and%201=2%20UNiON/**/SELECt/**/1,group_concat(no,username,passwd,data),3,4%20from%20users####
攻防世界:web fakebook
这要是爆破,爆到明年去
根据前面的提示,盲猜是base64编码。
猜个屁
攻防世界:web fakebook
直接挂了

看下还有个PHP序列化串儿:{s:4:"name";s:7:"admin‘#";s:3:"age";i:11;s:4:"blog";s:11:"www.123.com";}
这题估计和它分不开了
因为刚刚发现的备份php文件有个geturl的代码,我们猜想我们的SSRF注入就是利用这个函数获取服务器的flag.php文件内容,而且很显然,下面有个博客内容的框也说明了问题:
攻防世界:web fakebook
找个没有回显的回显点:
注入:
view.php?no=2%20union/**/select%201,2,3,%27O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:123;s:4:"blog";s:29:"file:///var/www/html/flag.php";}%27
查看URL发现有个base64编码
解码,就是flag了
攻防世界:web fakebook
或者你直接点击那个框就好了

攻防世界:web fakebook

攻防世界:web fakebook

上一篇:PhotoshopCS2快速给美女头像美白柔肤


下一篇:用maven方式创建web项目