首先登陸頁面發現是這樣的:
原始碼很正常,也沒有什麼特別的
我用的是dirmap工具掃瞄,掃瞄結果儲存在乙個txt檔案中,結果可知沒什麼後台。
發現有/user.php.bak
直接是乙個userinfo類,三個屬性,get函式中存在ssrf,且沒有過濾。curl可用file協議,blog屬性呼叫了get函式,所以這裡使用file協議讀取檔案。file:///var/www/html/flag.php
首先肯定要join,即註冊乙個使用者
提示註冊成功。
註冊後發現可以點選自己的username,點選之後,觀察url可能存在get注入。sqlmap跑一下。sqlmap跑不出來,手動檢測,是數字型注入。union select 發現有waf,用/**/即可繞過。union /**/ select.回顯位置是第二位,往下注注注。
並且發現爆出路徑:/var/www/html/
可以利用的變數在建構函式中,反序列化物件會自動執行建構函式。所以我們編寫指令碼,將需要構造的ssrf放在blog屬性中,讓其在反序列化時被呼叫
因為blog在第四位,所以paylaod:
?no=-1/**/union/**/select/**/1,2,3,'o:8:"userinfo":3:'
注入後blog欄顯示file:///var/www/html/flag.php,此時即代表註冊成功。檢視原始碼:
iframe標籤中讀取了flag.php中的內容。flag即出現
核心思路:
網鼎盃 2018 Fakebook 復現
0x00 前言 這道題對我來說難度還是有的,綜合性比較強,設計到了ssrf,反序列化,sql注入等多個方面的漏洞,我想通過這道題還是可以學習到許多新姿勢的.0x01 解題 進入題目環境,是乙個註冊登入頁面,一般來說這種一開始給乙個註冊介面的很少是上來就直接sql注入的,我這裡註冊了乙個test使用者...
審計練習3 網鼎盃 2018 Fakebook
平台 buuoj.cn 開啟靶機 有個登入和註冊,開啟登入框看看 萬能密碼,sql注入fuzz,弱密碼全跑一遍,沒什麼變化,那就註冊看看。進去之後出現使用者記錄。點進使用者名稱看看,這是注意到url 有可能存在注入,試著讓他報錯。單引號測試 可以看到除了資料庫錯誤外,還直接顯示出了物理路徑。把東西先...
網鼎盃 反序列化題
include flag.php 當前目錄下是存在 flag.php檔案的 highlight file file class filehandler public function process elseif this op 2 else private function write res f...