0xGame个人结语
完结撒花!!!学到了很多很多,算是我这个WEB菜鸡过渡期的一个见证吧。0xGame虽然也没做出来几道(大嘘),但是一步步跟着复现也学了很多好玩的知识点和思路,希望下次能进化成WEBak哥hhhhhh~~~~
来看最后一周,全是java框架,麻了。
spring
整体不难,hint把解题方法基本写脸上了,网上一搜就是。
【精选】Springboot信息泄露以及heapdump的利用_heapdump漏洞_李白你好的博客-CSDN博客
Springboot之Actuator的渗透测试和漏洞修复_actuator/heapdump_抹香鲸之海的博客-CSDN博客
【精选】Springboot之Actuator信息泄露漏洞利用_actuator/env_Java海的博客-CSDN博客
读env看到这里,那说明我们应该读app.password密码,这个密码就是flag。
用一个java的visualvm工具处理heapdump文件查看泄露信息,但是高版本java没有这个内置的工具了,要去github上自己下。
然后就是OQL里面搜,payload都是现成的(但是另外有个toString的payload我梭不出来,放弃了..)
select s from java.util.LinkedHashMap$Entry s where /app.password/.test(s.key)
找value就有了:
auth_bypass
点进去两眼一抹黑,直接看hint:
首先是这里的/download路由有过滤,把..给ban掉不让路径穿越,而且/download不能直接用,但是搜了下就知道两个/就可以绕过了,即//download。
这是另一个DownloadServlet的文件,结合hint就知道可以实现任意目录下载。
测试一下发现,这个可以下载avatar.jpg,但是不能直接下flag。
题目说是war打包的,这个 war 其实也就相当于压缩包, Tomcat 在部署 war 的时候会将其解压, ⽽压缩包内会存在⼀个 WEB-INF ⽬录,⽬录⾥⾯包含编译好的 .class ⽂件以及 web.xml (保存路由和类的映射关系)
网上搜一下:
我们下载这个web.xml试试:
(%2e就是 . )
注意到这里的EvilServlet,映射的路由为 /You_Find_This_Evil_Servlet_a76f02cb8422
同时看到这里可以用来构造url:
看了下下面的博客,了解到如何利用映射路由下载.class文件:
WEB-INF/web.xml泄露漏洞及其利用-CSDN博客
使用java反编译工具打开class字节码文件,这里我用的是jd-GUI:
Evil_Cmd_Arguments_fe37627fed78 就是我们POST传参的参数名,这就用上了前面的映射路由,显然exec可以RCE。
后面看了官方wp才知道没有回显,还好我直接反弹shell
标签:WEB,65%,63%,0xGame,6f%,74%,2e%,week4,61% From: https://www.cnblogs.com/EddieMurphy-blogs/p/17794402.html