[网鼎杯 2018]Fakebook 1
访问初始页面,进行目录爆破
发现请求过快,导致服务器报错
我们将线程调小,重新爆破
我们对目录爆破的结果进行分析,这里我们直接看相似度
flag.php
robots.txt -> user.php.bak
我们把user.php.bak下载下来
后面访问页面,对所有页面后缀添加bak,只发现了这一个备份文件
暂时无法直接利用,我们尝试爆破用户名密码(无果)
join页面进行注册,进入系统,发现一个注入点
同时也获取到了路径信息
sql注入
判断闭合方式
判断列数(order by 5开始报错,共4列)
尝试union注入,发现被过滤(挨个删掉payload进行分析,过滤的字符串是union select,我们双写空格进行绕过,也可以通过/**/注释替换空格进行绕过)
判断回显位置(是在第二个位置进行回显)
接下来就能愉快查询数据了(略)
get flag的两种方法
前面已有的信息:flag.php、user.php.bak、sql注入
而且我们还能在数据包中发现路径信息(是默认路径)
简单粗暴,直接load_file()
当然如果查数据,可以发现在users的data中有序列化的数据(这个数据是我们注册的信息,下图比较长是因为我注册了若干个账号)
我们可以通过sql语句控制查询结果,序列化出payload来进行ssrf
将payload修改为file:///var/www/html/flag.php
ps:这里不在注册的时候直接写入payload是因为注册时对url有校验
union select 1111,22222,33333,(select 'O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:10;s:4:"blog";s:29:"file:///var/www/html/flag.php";}')#
[BSidesCF 2020]Had a bad day
爆破目录
存在flag.php
查看前端代码(无有用信息)
初始页面有2个按钮,点击跳转到一个展示图片的页面
图片路径http://xxx/img/dog/6.jpg
发现/img/dog/数字.jpg里面只有若干狗狗图片
直接访问/img和/img/dog(无果)
文件包含
查看题目给的源码index.php
要绕过strpos并且打印php代码,那就是伪协议
php://filter/read=convert.base64-encode/index/resource=文件名字
此处文件名字已经拼接了.php,所以只需要flag即可
接下来就是绕过strpos,有两种方法添加脏数据进行绕过
-
路径:
php://filter/read=convert.base64-encode/resource=./index/../flag -
伪协议:
php://filter/read=convert.base64-encode/index/resource=flag
之后发送payload即可得到base64的flag
