-
-
[原创]第一题 至暗时刻 2020 KCTF-WEB 设计思路
-
发表于: 2020-11-16 21:16
-
本文查看源码可发现两个关键的链接,其中一个是
直接打开该链接显示出了图片的源码,很容易想到的是ssrf漏洞,或者任意文件下载?
但是修改a2eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5J5x3g2)9J5k6e0x3$3i4K6u0W2x3e0b7#2i4K6u0W2x3e0f1%4i4K6y4m8z5o6l9^5z5q4)9J5c8X3N6W2N6r3W2E0j5h3N6W2i4K6y4r3N6i4u0D9i4K6y4p5K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1j5`.e4fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0
明显是需要绕过上面的常用作限制域名的正则表达式
我们再看第二个链接
7dcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5J5x3g2)9J5k6e0x3$3i4K6u0W2x3e0b7#2i4K6u0W2x3e0f1%4i4K6y4m8z5o6l9^5z5l9`.`./loadConfig?url=x.xml
IP不被允许,这种配置文件猜测可能只允许本地iP访问
那么结合两个链接,猜测是需要绕过第一个SSRF的限制访问127.0.0.1,然后加载第二个链接就像这样
c78K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5J5x3g2)9J5k6e0x3$3i4K6u0W2x3e0b7#2i4K6u0W2x3e0f1%4i4K6y4m8z5o6l9^5z5q4)9J5c8X3N6W2N6r3W2E0j5h3N6W2i4K6y4r3N6i4u0D9i4K6y4p5K9s2c8@1M7l9`.`.://127.0.0.1:8088/loadConfig?url=x.xml
那么我们怎么绕过第一个正则执行SSRF呢?
这里需要用到httpclient3的一个小BUG吧,暂且算BUG吧,就是在解析URL的时候对URL编码的处理上的问题
关于这个我之前在知识星球上有发过,只是不知道看到的人有多少。
最终结果就是
|
|
|---|---|
|
|
|
|
|
|
|
|
返回错误不影响,但是命令执行了 |
