SquareCTF web题解
SquareCTF
sandbox
cat flag.txt
无回显,过滤空格用<
代替
Be The Admin
cookie身份认证,改为admin的base64即可,注意出于安全性考虑cookie中不能出现=
,base64中=
用于占位不影响解密,故删除即可
Just Go Around
xxe
+内网探测
看源码发现/post
路由,提交查询跳转到/accept
,发现可用postXml
参数xxe,先读本地文件
本地没找到flag文件,要找内网ip,用http访问内网拿flag,然后就是各种读文件找线索
翻了好多好多层之后在/JustGoAround/src/main/resources/application.properties
找到一个端口号spring.datasource.url=http://${ELASTIC_HOST:db}:9200
,读/etc/hosts
找到一个ip172.21.0.3
直接访问发现不对,多试试找到172.21.0.2
payload:
1 | <?xml version="1.0" encoding="UTF-8" standalone="no"?><!DOCTYPE ANY [<!ENTITY foo SYSTEM "http://172.21.0.2:9200/_search?q=*">]><post author="CTF" id="0" title="122"><message>&foo;</message></post> |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Oracle の blog!
评论