[GKCTF 2021]babycat

这道题点开始注册登录界面，但是点击注册按钮会提示Not Allowed。

但是查看源码会发现

这里是直接跳出了Not Allowed，构造POST请求，通过burp发包注册一个账号。

注册成功，登录后又上传和下载两个功能，我们发现下载有一个目录穿越，尝试读取，/WEB-INF/web.xml.

由于上传功能只有管理员可以使用它，因此可以根据xml的内容构造出，

../../WEB-INF/classes/com/web/servlet/registerServlet.class，然后下载这个class文件，查看注册的源码。

可以使用jd-jui反编译class文件，看到源码。可以很容易就找到针对role的处理。

String var = req.getParameter("data").replaceAll(" ", "").replace("'", "\"");Pattern pattern = Pattern.compile("\"role\":\"(.*?)\"");Matcher matcher = pattern.matcher(var);while (matcher.find())role = matcher.group(); if (!StringUtils.isNullOrEmpty(role)) {var = var.replace(role, "\"role\":\"guest\"");person = (Person)gson.fromJson(var, Person.class);} else {person = (Person)gson.fromJson(var, Person.class);person.setRole("guest");}

此时可以有两种方法，绕过，正则表达式中包含了

"\"role\":\"(.*?)\""，

会把所有内容进行完整匹配，但是JSON中的内联注释不会影响其解析，因此可以使用注释来破坏正则匹配，为了让其不直接走if的另外一个分支，我们还是需要让正则匹配有结果从而保证role变量有内容。JSON中键值一样的数据解析时后面的会覆盖前面的，因此可以构造如下payload

data={"username":"july", "password":"123456","role":"superuser", "role"/**/:"admin"}

可以注意到这里取得的正则匹配结果是最后一个，在可以使用注释的情况下，可以构造如下payload。

{"username":"july","password":"123456","role":"admin"/*,"role":"guest"*/}

利用这个payload注册一个管理员账户，登陆管理员账户之后，再根据构造../../WEB-INF/classes/com/web/servlet/uploadServlet.class下载后查看上传文件的源码。

if (checkExt(ext) || checkContent(item.getInputStream())) {req.setAttribute("error", "upload failed");req.getRequestDispatcher("../WEB-INF/upload.jsp").forward(req, resp);
}
item.write(new File(uploadPath + File.separator + name + ext));
req.setAttribute("error", "upload success!");

我们看到内容检测和扩展名检测完成之后，并没有退出，而是继续保存了文件，因此我们可以尝试想../../static/下上传一句话，使用蚁剑连接即可获取flag。

[GKCTF 2021]babycat相关推荐

[GKCTF 2021]XOR
[GKCTF 2021]XOR 题目 from Crypto.Util.number import * from hashlib import md5a = getPrime(512) b = get ...
[GKCTF 2021]Random
[GKCTF 2021]Random 题目 import random from hashlib import md5def get_mask():file = open("random.t ...
CTF——MISC习题讲解（GKCTF 2021系列）
CTF--MISC习题讲解(GKCTF 2021系列) 前言接下来陆续给大家复现一些赛事的杂项习题讲解,因为本人也是小白入门,有些题目做的不对还请各位大佬多多包涵. 一.[GKCTF 2021]签到 ...
[GKCTF 2021]RRRRsa
复现[GKCTF 2021]RRRRsa 拿到题目后,准备操作,额,,, 看了看大佬的wp,恍然大悟,分享一下解题的思路.(部分题目如下) 一般看到这种像hint1的式子,都需要用gcd(,n)去分解 ...
[GKCTF 2021]hackme
[GKCTF 2021]hackme 进入题目后,题目如上所示,查看页面源代码提示nosql,这里推荐WHOAMI大佬的文章这里源代码我们也看到了php头,那我们就看大佬文章里php中的nosql ...
[GKCTF 2021]babycat-revenge
`[GKCTF 2021]babycat-revenge 一进入题目界面如上所示,简简单单,没法注册,登录试了下弱口令还有注入都不是,也没有什么其他页面找不到线索就抓个包来看看好家伙,这个注册页面 ...
GKCTF 2021]excel 骚操作
题目链接 https://buuoj.cn/challenges#[GKCTF%202021]excel%20%E9%AA%9A%E6%93%8D%E4%BD%9C 打开flag.xlsx 估计和wo ...
[GKCTF 2021]FireFox Forensics
题目链接 https://buuoj.cn/challenges#[GKCTF%202021]FireFox%20Forensics 解题过程打开题目,有两个文件分别是firfox的记录文件(log ...
buuctf [GKCTF 2021]你知道apng吗＜apng图片格式的考察＞
下载文件得到个 apng的文件其可以用火狐打开查看这里需要下载一个工具: apngdis_gui.exe 来分解这个apng图片打开来看看 1.这张图片是扭曲的需要拉扯一下用在线ps 扫描得到 ...

[GKCTF 2021]babycat

[GKCTF 2021]babycat相关推荐

最新文章

热门文章