网鼎杯 fakebook

这道题目登录之后我们可以看到有join和login

login即登录,join即注册

我们通过查看robots.txt可以知道

有源代码泄露。

先将泄露的源码下载下来审计一波

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

可以看到泄露的是UserInfo这个类的源码,看其他师傅们的WP可以知道还可以扫出来flag.php的存在。

curl_exec — 执行一个cURL会话

因为我们要传递自己博客的网址,所以猜测这里是否能够通过file协议读取绝对路径下的文件。

接着在join里面虽然我们要输入自己博客的网址,但是其进行了非常严格的正则表达式过滤,所以想在这个位置运用file协议基本上是不可能了。

我们注册一个账号看看

注册成功即登录,可以看到我们输入的信息可以看到

这里就是我们输入的博客网址的地方,不过在join的时候如果输入除http/https以外的关键词就会被检测出来,所以我们点击test用户看是否有突破点

可以看到view.php后面的参数no,这里让我们很容易想到该地点是否存在SQL注入漏洞

简单测试一下

输入了and 1=2之后,页面报错,数字型注入,同时页面返回来网站的绝对路径,这正是我们需要的。

接着我们进行常规注入操作,不过因为有WAF的存在,我们使用union select 的时候需要将空格转换成/**/绕过,当然也可以用其他方法绕过

这里回显位置是2,我们可以看到爆出了数据,同时页面Notice里面提示了我们unserialize(),所以这里涉及了反序列化漏洞,我们先不管这个,进一步读取数据

可以看到data是序列化之后的结果,泄露的源代码里面也有getBlogContents函数,其配合get函数,恰好构造成SSRF漏洞, 并且blog的值我们可以通过构造反序列,利用file协议来进行任意文件读取 。

反序列化的payload我们直接依葫芦画瓢即可

O:8:"UserInfo":3:{s:4:"name";s:4:"test";s:3:"age";i:20;s:4:"blog";s:29:"file:///var/www/html/flag.php";} 

现在的问题在于我们应当将payload放在哪里,才可以使其正确的被反序列化。

答案是:在SQL语句里面控制

因为页面提示了我们反序列化,所以猜测no参数的值代入数据库查询之后还会被反序列化一次,这个时候就会导致blog变成我们构造的blog

后面分析view.php源代码也可以看出

所以我们将构造之后的序列化payload放进no参数SQL语句里面,即

view.php?no=-1/**/union/**/select/**/1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:4:"test";s:3:"age";i:20;s:4:"blog";s:29:"file:///var/www/html/flag.php";} ' from users

这里可以看到blog的值已经成为我们构造的了

查看源代码

当然用这个方法还可以查看view.php ,db.php等等文件,加深自己对题目的认识。

posted @ 2020-01-10 17:05  春告鳥  阅读(272)  评论(0编辑  收藏  举报