RoarCTF2019 easy Java
1.尝试登录
打开实例,首先出现了一个登录页面。考虑账号用admin,密码先尝试几个登录。提示wrong password,但是,这个页面的密码可以直接用暴力破解的方法得到。得出来用户名是admin,密码是admin888。
登录过去发现页面"flag is not here",页面没有啥有用的信息,回到登录页面,发现有个help链接。进去,发先报错 “java.io.FileNotFoundException:{help.docx}”,意思是找不到help.docx这个文件。感觉这个提示没啥用,但既然提示这个文件,而且页面的URL是Download?file=help.docx。那就尝试下载help.docx这个文件。但是不知为何,get请求无法下载文件,只能通过post请求下载。
2.寻找正确的文件
打开help.docx结果没有什么有用的信息,不过我们可以判断这里是有文件包含漏洞的,这里需要找到合适文件。题目名已经告诉我们,这里可能和Java有关。这里就要用到Java web的有关知识了,这里需要了解一下Java web的文件结构:
src/main/java: 这个目录一般是存放web项目的Java源文件的
src/main/resource: 这个目录一般是存放相关的配置文件
src/main/webapp: 这个目录一般是和web应用相关的
webapp下的文件目录是容易出现安全问题的
/WEB-INF/web.xml: Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则
/WEB-INF/classes/:含了站点所有用的 class 文件(即编译后的Java文件),包括 servlet class 和非servlet class,他们不能包含在 .jar文件中
/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件
/WEB-INF/src/:源码目录,按照包名结构放置各个java文件。
/WEB-INF/database.properties:数据库配置文件
这里就要尝试打开web.xml文件了。web.xml是我们需要研究的文件。之所以会发生安全漏洞就是因为如果在web.xml文件中有某个文件的相关映射的话,我们就可以直接在页面访问这个文件,就类似于文件包含了。从而发生安全漏洞。
3找到flag
通过post请求下载web.xml文件 payload:Download?filename=/WEB-INF/web.xml
Index
IndexController
com.wm.ctf.IndexController
IndexController
/Index
LoginController
com.wm.ctf.LoginController
LoginController
/Login
DownloadController
com.wm.ctf.DownloadController
DownloadController
/Download
FlagController
com.wm.ctf.FlagController
FlagController
/Flag
可以看到有个servlet(运行在web服务器或应用服务器上的程序)为FlagController,这个是可能有flag的类,存放于com.wm.ctf包下。那么尝试下载这个类。构造payload:Download?filename=/WEB-INF/classes/com/wm/ctf/FlagController.class(直接这样是不行,因为无法get请求。需要在Download页面下post请求传filename=/WEB-INF/classes/com/wm/ctf/FlagController.class)
打开class,发现一串有点像Base64编码的字符串
尝试一下Basse64解码,成功的得到了flag
提交flag
这个题目其实结合了源码泄露,和文件包含以及Java web的基础知识。