审计练习3——[网鼎杯 2018]Fakebook

平台：buuoj.cn
打开靶机

有个登录和注册，打开登录框看看

万能密码，sql注入fuzz，弱密码全跑一遍，没什么变化，那就注册看看。

进去之后出现用户记录。

点进用户名看看，这是注意到url：

有可能存在注入，试着让他报错。
单引号测试：

可以看到除了数据库错误外，还直接显示出了物理路径。
把东西先注出来再说，这里过滤了一些东西，我这就直接sqlmap跑一下了，加个–no-cast参数

当然可以手注，看别的师傅是用报错成功注入
一系列流程走一遍最后发现除了admin和passwd外，注出来有个列里有个data序列化字符串：

嗯。。。忽略了一个东西，dirsearch扫一下发现有个robots.txt和flag.php，flag.php应该就是要读取flag的地方了，robots.txt提示有个index,php.bak备份文件，下下来看看：

class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

get方法里有curl函数，翻翻手册：

curl_init:初始化新的会话，返回 cURL 句柄，供curl_setopt()、 curl_exec() 和 curl_close() 函数使用。
curl_setopt:为 cURL 会话句柄设置选项。
curl_exec:执行给定的 cURL 会话。
curl_getinfo:获取最后一次传输的相关信息。

getBlogContents调用get方法
还有个waf限制注册时直接读取flag.php
来看get方法，curl会访问url并返回页面，而getBlogContents则调用get访问blog中的url，因此这里存在SSRF

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF是要目标网站的内部系统。（因为他是从内部系统访问的，所有可以通过它攻击外网无法访问的内部系统，也就是把目标网站当中间人）

假如我们把url设定成我们想要的地址，就可以访问服务器内部文件。
结合我们前面得到的序列化，将123.com设定为file协议读取flag.php

class UserInfo  {
    public $name = "test";
    public $age = 12;
    public $blog = "file:///var/www/html/flag.php";
}

$data = new UserInfo();
echo serialize($data);
//O:8:"UserInfo":3:{s:4:"name";s:4:"test";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}

最后在view.php?no=1后面构造个联合查询

源码返回base64字符串，解码即得flag

从这位师傅学到了还有个非预期，在view.php?no=*中没有过滤load_file函数，导致可以直接读到flag.php，盲注下/var/www/html/flag.php位置字段即得flag。