自己做已經找到了SQL注入漏洞了，但是後面盲注太慢了而且發現並沒有什麼有用的資訊
找到了一個部落格，寫得很好，我梳理一下成為自己的東西
https://blog.csdn.net/qq_41500251/article/details/105383065

下面是它做題的思路：

先進行目錄掃描

這個博主用的是webscan，我用御劍和dirsearch，可能有更好的
兩個軟體都差不多，在我第一次掃描的時候字典裡面沒有flag.php，所以掃不出來
所以："及時更新字典非常重要"


但是開啟flag.php是一片空白，有以下兩種情況：

• flag.php真的是空的
• 伺服器拒絕訪問

一般第二種的可能性更大
所以可以考慮SSRF攻擊實現對flag.php的訪問

開啟現有掃描檔案

開啟robots.txt

這個user.php.bak是一個備份檔案，而這個檔案是disallow，即不允許訪問。
可能答案就在這裡，訪問

程式碼審計過後，發現這是一個GET部落格的URL的一個程式碼
可能到後面有用

按照網頁規則進行嘗試

註冊使用者，賬號密碼，不存在二次注入漏洞
但是會報錯

所以存在SQL注入，使用sqlmap進行掃描了，但是沒有成功
使用報錯注入，可以破解出所有的東西
但是這個伺服器太慢了，像是故意不讓爆破的

檢查頁面原始碼

在下面存在一個PHP偽協議，猜想可能存在檔案包含漏洞
在data後面接上flag.php的路徑，就可以訪問flag了

通過這個報錯，很可能flag.php的路徑和db.php的路徑一致為/var/www/html/flag.php。
通過嘗試，如此可以繞過waf

回顯點是2那裡，那麼直接來：



http://111.200.241.244:60066/view.php?no=1%20and%201=2%20UNiON/**/SELECt/**/1,group_concat(no,username,passwd,data),3,4%20from%20users####

看下還有個PHP序列化串兒：{s:4:"name";s:7:"admin'#";s:3:"age";i:11;s:4:"blog";s:11:"www.123.com";}
這題估計和它分不開了
因為剛剛發現的備份php檔案有個geturl的程式碼，我們猜想我們的SSRF注入就是利用這個函式獲取伺服器的flag.php檔案內容，而且很顯然，下面有個部落格內容的框也說明了問題：

找個沒有回顯的回顯點：
注入：
view.php?no=2%20union/**/select%201,2,3,%27O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:123;s:4:"blog";s:29:"file:///var/www/html/flag.php";}%27

本文來自部落格園，作者：{Zeker62}，轉載請註明原文連結：https://www.cnblogs.com/Zeker62/p/15229221.html