XCTF-fakebook
2024-10-07 11:08:30
fakebook
stm的fakebook,乍一看还以为是facebook,果然fake
看题
有登录和注册两个功能点
看了下robots.txt
,发现有备份文件
果断下载,内容如下
这里的blog在注册页面要用到,先审计一下
<?php
class UserInfo
{
public $name = "";
public $age = 0;
public $blog = "";
public function __construct($name, $age, $blog)
{
$this->name = $name;
$this->age = (int)$age;
$this->blog = $blog;
}
function get($url)
{
$ch = curl_init(); // 初始化curl的session
curl_setopt($ch, CURLOPT_URL, $url); // 设置要获取的url
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); // 把输出转换为string
$output = curl_exec($ch); // 执行curl session
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE); // 获取http状态码
if($httpCode == 404) {
return 404;
}
curl_close($ch); // 关闭 session
return $output; // 返回结果
}
public function getBlogContents ()
{
return $this->get($this->blog); // 调用get函数
}
public function isValidBlog () // 判断blog格式是否正确
{
$blog = $this->blog;
return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
}
}
blog
的要求如图所示,emmm,^xxxx$
表示匹配开头,和匹配结尾,\S
匹配非空白字符,\i
表示忽略大小写
忽然想到了php伪协议,因为这里的http(s)
是匹配0次或1次,但是后边的正则无法满足
去搜了下curl_exec()
的漏洞,看到了这篇介绍,原来是SSRF
但这里无法直接利用,继续fuzz
然后试了下/flag.php
可以访问,但没有显示,猜测flag在这里面
随便注册一个账号,进去之后看到url有参数no
,输入引号有报错
存在sql注入点,先order by
查列数
说明列数是4,然后看下回显位,是2,这里用到一个姿势,union select
被过滤可以用union++select
bypass
试了一下database()
被过滤了,但是information_schema
都可以查,依次爆库名、表名,再看看数据
发现data是php序列化字符串
结合上面的user.php
代码,这里的逻辑应该是:sql查询 -> php序列化 -> 返回结果,这里的curl
是应该是没有经过检测的,所以把blog对应的位置替换成我们构造的php序列化串,使用file
协议进行ssrf
payload:
3 union++select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
最新文章
- shell调用函数返回值深入分析
- C# WebForm内置对象2+Repeater的Command
- angularJs ng-model/ng-bind
- {Reship}{Matting}Image Matting
- springMVC找不到JS等文件
- canvas图片的跨域问题
- 转:昨天去参加adobe AIR发布会
- HDOJ 1017 A Mathematical Curiosity
- 使用file_get_content系列函数和使用curl系列函数采集图片的性能对比
- windows 查看端口被哪个程序占用
- Service IP 原理 - 每天5分钟玩转 Docker 容器技术(137)
- 201671010147 2017年8月27号 初学java的感想
- JAVA基础知识笔记
- Shell 与正则表达式part1
- 037 对于HIVE架构的理解
- js 中class选择器,addClass,removeClass,hasClass,toggleClass,getByClass
- web框架原理
- C++官方文档-运算符重载
- GNU Radio: Synchronization and MIMO Capability with USRP Devices
- python模块之 fabric