fakebook
stm的fakebook,乍一看还以为是facebook,果然fake
看题
有登录和注册两个功能点
看了下robots.txt,发现有备份文件
果断下载,内容如下
这里的blog在注册页面要用到,先审计一下
<?php
class UserInfo
{
public $name = "";
public $age = 0;
public $blog = "";
public function __construct($name, $age, $blog)
{
$this->name = $name;
$this->age = (int)$age;
$this->blog = $blog;
}
function get($url)
{
$ch = curl_init(); // 初始化curl的session
curl_setopt($ch, CURLOPT_URL, $url); // 设置要获取的url
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); // 把输出转换为string
$output = curl_exec($ch); // 执行curl session
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE); // 获取http状态码
if($httpCode == 404) {
return 404;
}
curl_close($ch); // 关闭 session
return $output; // 返回结果
}
public function getBlogContents ()
{
return $this->get($this->blog); // 调用get函数
}
public function isValidBlog () // 判断blog格式是否正确
{
$blog = $this->blog;
return preg_match("/^(((http(s?))://)?)([0-9a-zA-Z-]+.)+[a-zA-Z]{2,6}(:[0-9]+)?(/S*)?$/i", $blog);
}
}
blog的要求如图所示,emmm,^xxxx$表示匹配开头,和匹配结尾,S匹配非空白字符,i表示忽略大小写
忽然想到了php伪协议,因为这里的http(s)是匹配0次或1次,但是后边的正则无法满足
去搜了下curl_exec()的漏洞,看到了这篇介绍,原来是SSRF
但这里无法直接利用,继续fuzz
然后试了下/flag.php可以访问,但没有显示,猜测flag在这里面
随便注册一个账号,进去之后看到url有参数no,输入引号有报错
存在sql注入点,先order by查列数
说明列数是4,然后看下回显位,是2,这里用到一个姿势,union select被过滤可以用union++selectbypass
试了一下database()被过滤了,但是information_schema都可以查,依次爆库名、表名,再看看数据
发现data是php序列化字符串
结合上面的user.php代码,这里的逻辑应该是:sql查询 -> php序列化 -> 返回结果,这里的curl是应该是没有经过检测的,所以把blog对应的位置替换成我们构造的php序列化串,使用file协议进行ssrf
payload:
3 union++select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'