商丘SQCTF 部分题目WP

File_download

根据源码可以知道这有个隐藏表单，提示我们存在下载

根据help.jsp的get or post filename to /DownloadServlet ?，要求我们去传参一个filename
我们先去读一读index.jsp

可以明显知道这个登录界面是个幌子，这题的突破口是下载和读取文件，并可以发现语言用的是java语言。
再者题目提示我们用xml，不难想到/DownloadServlet?filename=/WEB-INF/web.xml

这里有两个servlet，猜测flag应该就在Flagmanager中，我们进行读取
/DownloadServlet?filename=/WEB-INF/classes/com/ctf/flag/FlagManager.class
但提示我们一个这个

然后我想了很久，猜测这边可能会用POST请求，get请求应该会过滤后缀，果然

得到了.class的字节码
反编译后得到

1. import com.ctf.flag.FlagManager;
2. import java.util.ArrayList;
3. import java.util.Scanner;
4. import javax.servlet.http.HttpServlet;
6. public class FlagManager extends HttpServlet {
7.     public static void main(String[] args) {
8.         Scanner sc = new Scanner(System.in);
9.         System.out.println("Please input your flag: ");
10.         String str = sc.next();
11.         System.out.println("Your input is: ");
12.         System.out.println(str);
13.         char[] stringArr = str.toCharArray();
14.         Encrypt(stringArr);
15.     }
17.     public static void Encrypt(char[] arr) {
18.         ArrayList<Integer> Resultlist = new ArrayList<>();
19.         for (int i = 0; i < arr.length; i++) {
20.             int result = arr[i] + 38 ^ 0x30;
21.             Resultlist.add(Integer.valueOf(result));
22.         }
23.         int[] key = {
24.                 110, 107, 185, 183, 183, 186, 103, 185, 99, 105,
25.                 105, 187, 105, 99, 102, 184, 185, 103, 99, 108,
26.                 186, 107, 187, 99, 183, 109, 105, 184, 102, 106,
27.                 106, 188, 109, 186, 111, 188
28.         };
29.         ArrayList<Integer> Keylist = new ArrayList<>();
30.         for (int j = 0; j < key.length; j++) {
31.             Keylist.add(Integer.valueOf(key[j]));
32.         }
33.         System.out.println("Result: ");
34.         if (Resultlist.equals(Keylist)) {
35.             System.out.println("Congratulations! ");
36.         } else {
37.             System.out.println("Error! ");
38.         }
39.     }
40. }

复制代码

我们再写一个脚本即可

1. import java.util.ArrayList;
3. public class GetFlag {
4.     public static void main(String[] args) {
5.         int[] key = {
6.                 110, 107, 185, 183, 183, 186, 103, 185, 99, 105,
7.                 105, 187, 105, 99, 102, 184, 185, 103, 99, 108,
8.                 186, 107, 187, 99, 183, 109, 105, 184, 102, 106,
9.                 106, 188, 109, 186, 111, 188
10.         };
11.         StringBuilder flag = new StringBuilder();
12.         for (int i = 0; i < key.length; i++) {
13.             char c = (char) ((key[i] ^ 0x30) - 38);
14.             flag.append(c);
15.         }
16.         System.out.println("Flag: " + flag.toString());
17.     }
18. }   

复制代码

My Blog

点击，得到一份pdf，得到admin/secret123的后台密码，盲猜登录点为login.php

baby include

[code]