NSS [NUSTCTF 2022 新生赛]Ezjava1
题目描述:你能获取flag{1}吗
开题,一眼java web中的index.jsp。
默认index.jsp中的body内容是$END$
附件jar包导入IDEA,会自动反编译。看看源码。
附件结构大致如此。主要看classes.com.joe1sn中的代码就好啦。
HelloController.class内容如下
package com.joe1sn.controller;
import ...
@Controller
public class HelloController {
public HelloController() {
}
@RequestMapping({
"/hello"})
public ModelAndView handleRequest(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse) throws Exception {
ModelAndView mav = new ModelAndView("index");
mav.addObject("message", "Do you know \"beans\"?");
return mav;
}
@PostMapping({
"/index"})
public void postIndex(@ModelAttribute EvalBean evalBean, Model model) {
System.out.println("@POST Called");
}
@GetMapping({
"/index"})
public void getIndex(@ModelAttribute EvalBean evalBean, Model model) {
System.out.println("@GET Called");
}
@RequestMapping({
"/addUser1"})
@ResponseBody
public String addUser(User user) throws IOException {
System.out.println(user.getDepartment().getName1());
if (user.getDepartment().getName1().contains("njust") && user.getName().contains("2022")) {
return "flag{1}";
} else {
String var10002 = user.getDepartment().getName1();
File f = new File("../webapps/ROOT/" + var10002 + user.getName() + ".njust.jsp");
return f.exists() ? "flag{2}" : user.getName();
}
}
}
根据题目描述,我们的目标是拿到flag{1},所以核心代码是:
if (user.getDepartment().getName1().contains("njust") && user.getName().contains("2022")) {
return "flag{1}";
}
判断条件:
调用user对象中的getDepartment方法然后再调用到Department类中的getName1方法,之后判断调用后的结果是否等于或包含”njust”
调用user对象中的getName方法,之后判断结果是否等于或包含”2022”
看了一眼User类和Department类,getxxx()方法,最后返回的就是this.xxx(user.xxx)。所以上述要求也就是:
User.department.name1 等于或包含”njust”
User.name 等于或包含”2022”
User类的属性应该是直接GET/POST传入的。
由于这里没有指定GET或者POST提交,所以都行。注意路由是/addUser1。
payload:
/addUser1?department.name1=xxxnjustxxx&name=xxx2022xxx
