拿到题目有个login和join,以为是个注入点啥的,试了半天没用,先注册一个进去看看
进去之后点username发现url有个奇怪的点
试一下sql注入,'发现确实有注入点,然后fuzz测试一下,发现空格被过滤,绕过方式前面讲过,这里就用/**/,然后爆出字段数
然后爆表名
make_set用法可以看一下这篇[(https://blog.csdn.net/qq_41725312/article/details/83039525)]
爆列名
爆data字段
发现是序列化后的数据
然后不会了,百度一下看看师傅们怎么写的
说可以用扫描器扫出robots.txt和flag.php,但是我用nikto、御剑、dirsearch、dirmap都没有扫出来,人都傻了
可能是平台的问题,先访问一下robots.txt,内容是
然后下载下来
可以看到这里将输入的(blog传入get函数,get函数会对其使用curl命令发起请求并将获取内容显示,这里对)blog进行了http(s)过滤,所以要结合前面的sql注入漏洞
百度到curl命令支持file协议,于是构造反序列化
payload
-1//union//select/**/1,2,3,%27O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}%27