fakebook

stm的fakebook，乍一看还以为是facebook，果然fake

看题

有登录和注册两个功能点

看了下robots.txt，发现有备份文件

果断下载，内容如下

这里的blog在注册页面要用到，先审计一下

<?php

class UserInfo

{

    public $name = "";

    public $age = 0;

    public $blog = "";

    public function __construct($name, $age, $blog)

    {

        $this->name = $name;

        $this->age = (int)$age;

        $this->blog = $blog;

    }

    function get($url)

    {

        $ch = curl_init(); // 初始化curl的session

        curl_setopt($ch, CURLOPT_URL, $url); // 设置要获取的url

        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); // 把输出转换为string

        $output = curl_exec($ch); // 执行curl session

        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE); // 获取http状态码

        if($httpCode == 404) {

            return 404;

        }

        curl_close($ch); // 关闭 session

        return $output; // 返回结果

    }

    public function getBlogContents ()

    {

        return $this->get($this->blog); // 调用get函数

    }

    public function isValidBlog () // 判断blog格式是否正确

    {

        $blog = $this->blog;

        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);

    }

}

blog的要求如图所示，emmm，^xxxx$表示匹配开头，和匹配结尾，\S匹配非空白字符，\i表示忽略大小写

忽然想到了php伪协议，因为这里的http(s)是匹配0次或1次，但是后边的正则无法满足

去搜了下curl_exec()的漏洞，看到了这篇介绍，原来是SSRF

但这里无法直接利用，继续fuzz

然后试了下/flag.php可以访问，但没有显示，猜测flag在这里面

随便注册一个账号，进去之后看到url有参数no，输入引号有报错

存在sql注入点，先order by查列数

说明列数是4，然后看下回显位，是2，这里用到一个姿势，union select被过滤可以用union++selectbypass

试了一下database()被过滤了，但是information_schema都可以查，依次爆库名、表名，再看看数据

发现data是php序列化字符串

结合上面的user.php代码，这里的逻辑应该是：sql查询 -> php序列化 -> 返回结果，这里的curl是应该是没有经过检测的，所以把blog对应的位置替换成我们构造的php序列化串，使用file协议进行ssrf

payload：

3 union++select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

最新文章

1. shell调用函数返回值深入分析
2. C# WebForm内置对象2+Repeater的Command
3. angularJs ng-model/ng-bind
4. {Reship}{Matting}Image Matting
5. springMVC找不到JS等文件
6. canvas图片的跨域问题
7. 转：昨天去参加adobe AIR发布会
8. HDOJ 1017 A Mathematical Curiosity
9. 使用file_get_content系列函数和使用curl系列函数采集图片的性能对比
10. windows 查看端口被哪个程序占用
11. Service IP 原理 - 每天5分钟玩转 Docker 容器技术（137）
12. 201671010147 2017年8月27号 初学java的感想
13. JAVA基础知识笔记
14. Shell 与正则表达式part1
15. 037 对于HIVE架构的理解
16. js 中class选择器，addClass，removeClass，hasClass，toggleClass，getByClass
17. web框架原理
18. C++官方文档-运算符重载
19. GNU Radio: Synchronization and MIMO Capability with USRP Devices
20. python模块之 fabric

热门文章

1. teprunner测试平台部署到Linux系统Docker
2. 使用jhipster 加速java web开发
3. Spring 声明式事务与编程式事务详解
4. 采用React + Fabric + ImageMagick 实现大图片DIY定制
5. ch1_6_1求解两种排序方法问题
6. 汇编 JCC指令表
7. 【SqlServer】管理全文索引（FULL TEXT INDEX）
8. 敏捷史话（十三）：我被 Facebook 解雇了——Kent Beck
9. 你真的了解Innodb存储引擎？
10. hadoop 简单安装部署