[网鼎杯 2020 朱雀组]Think Java

最新推荐文章于 2024-07-05 13:24:14 发布
最新推荐文章于 2024-07-05 13:24:14 发布
阅读量2.3k 收藏 22
点赞数 42
文章标签: java web安全 ctf 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75361164/article/details/136892101
版权
本文介绍了如何使用SwaggerUI展示接口文档,同时探讨了在JDBC连接中防范SQL注入攻击,以及Java反序列化中的安全问题,包括利用`javaDeserializationScanner`和ROME漏洞利用组件进行分析和防御措施。
摘要由CSDN通过智能技术生成

[网鼎杯 2020 朱雀组]Think Java

swagger

[[swagger]]

  • 首先下载源码,查看之后发现
    image.png

  • 查找swagger资料,或者扫描,得到:swagger-ui.html

swagger-ui 提供了一个可视化的UI页面展示描述文件。接口的调用方、测试、项目经理等都可以在该页面中对相关接口进行查阅和做一些简单的接口请求。该项目支持在线导入描述文件和本地部署UI项目。

  • 首先去看看sqlDict页面,感觉跟sql注入有关
    image.png

JDBC sql注入

[[JDBC sql注入]]

//首先会先通过数据库名进行数据库链接,所以这一步不能出错,这导致了常规的sql拼接失败了,因为拼接之后的字符串不可能是它们其中的一个数据库名,所以要采取别的方法
       try {
            Class.forName("com.mysql.jdbc.Driver");
            if (dbName != null && !dbName.equals("")) {
                dbName = "jdbc:mysql://mysqldbserver:3306/" + dbName;
            } else {
                dbName = "jdbc:mysql://mysqldbserver:3306/myapp";
            }

            if (user == null || dbName.equals("")) {
                user = "root";
            }

            if (pass == null || dbName.equals("")) {
                pass = "abc@12345";
            }

            conn = DriverManager.getConnection(dbName, user, pass);


//然后才能进行SQL注入
String sql = "Select TABLE_COMMENT from INFORMATION_SCHEMA.TABLES Where table_schema = '" + dbName + "' and table_name='" + TableName + "';";
 ResultSet rs = stmt.executeQuery(sql);

参考wp,写的比较详细
https://blog.csdn.net/RABCDXB/article/details/124003575
https://syunaht.com/p/701889044.html

?#特殊处理

jdbc类似于url解析,所以会对于#和?有着不一样的解释

  • #在jdbc中无实际意义且#号后面的会被忽视。例如:myapp# 11会被当做myapp。而SQL语句得到的是:11
  • ?也是一样的,不过需要加个键值对。myapp?a=11。得到的SQL语句是:11
    所以构造,将提交方式改为post会好一点
dbName=myapp?a=1'union+select(group_concat(table_name))from(infoRmation_schema.tables)where(table_schema)like(database())#

image.png

  • 也不一定要用myapp数据库,也可以使用mysql自带的数据库,比如mysql
dbName=mysql?a=1'union+select+333#

image.png

  • 上面我们使用myapp数据库的时候其实返回了表名user,字段name和pwd
  • 所以直接进行注入
使用?
dbName=myapp?a=1'union+select+group_concat(name,pwd)+from+user#

使用#
dbName=myapp#1'union+select+group_concat(name,pwd)+from+user#

image.png
得到

admin
admin@Rrrr_ctf_asde
  • 进入登录页面进行登录
    image.png
  • 登录成功之后返回了
    image.png

java反序列化

[[java反序列化]]

一段数据以rO0AB开头,你基本可以确定这串就是Java序列化base64加密的数据。
或者如果以aced开头,那么他就是这一段Java序列化的16进制。

  • 很明显是base64加密,进入最后一个将数据放入抓包
    1710861473304.png
    看到回显的数据就是admin用户名,尝试反序列化利用

java Deserialization Scanner

[[java反序列化#java Deserialization Scanner]]

  • 分析组件
  • 可以简化ysoserial使用流程
    是bp里面的插件,下载安装看这篇博客吧
    https://blog.csdn.net/RABCDXB/article/details/124003575
  • 主要讲如何使用
    有三个模块,分别是组件分析,漏洞利用,配置
使用

组件分析

  • 进入
    image.png
  • 使用
    image.png
  • 显现红色的就是它推测出来的组件,这里是ROME
    漏洞利用
  • 进入
    image.png
  • 使用
    Snipaste_2024-03-19_23-14-24.png

最后,监听9999 端口,得到
1710861809481.png

尘佑不尘
关注
  • 42
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2020网鼎杯朱雀题目.rar
05-20
含有misc,re,crypto,pwn,webweb题为thinkjava
2022网鼎杯初赛朱雀赛题
10-18
2022网鼎杯初赛朱雀赛题
Ctfhub-think_java-2020网鼎杯-朱雀
weixin_54227009的博客
12-27 479
唉,做ctfhub这道题的时候,发现网上几乎都是跟风用的这个命令来直接读取根目录下的flag,我看了buuctf上的这道题因为flag就在跟目录下,flag的名称并没有变化,故可以直接读到flag。但ctfhub上这道题,题目已经提示了flag在根目录下,且flag名字是随机的,故用该方法并不能直接读取到flag,所以只有反弹shell的命令来cat flag。
网鼎杯 2020 朱雀】Think Java
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
04-08 4786
网鼎杯 2020 朱雀】Think Java 首先下载题目附件,是一些.class文件,反编译查看。 注意到引入的其中一个包: import io.swagger.annotations.ApiOperation; Swagger Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。文件的方法,参数和模型紧密集成到服务器端的代码,允许API来始终保持同步。 Swagger UI 提供了
网鼎杯2020朱雀-web(Think Java)
weixin_43610673的博客
05-19 2494
下载class.zip解压后用jd-gui查看源码,我是用jd-gui弄出来然后sublime看的 在/common/test/sqlDict有个注入 主要是SqlDict.class 下面注入即可dbName=myapp?useUnicode=true’union/**/select/**/1 这里用post或者get提交都行 dbName=myapp?useUnicode=true'union/**/select/**/group_concat(SCHEMA_NAME)from(informati
CTF网鼎杯2020朱雀 thinkjava思路记录
c0529的博客
05-23 941
1.代码分析 BUUCTF在线评测 (buuoj.cn)打开ctf赛题之后,下载class文件,这个部分是不完整点的源码 在sqldict中存在一个sql注入点,没有采用java的预编译,调用了这个的是在test中,同时,这个采用了swagger接口,这是一个测试页面的接口,我们直接尝试打开这个页面 打开 网址/swagger-ui.html 2.测试点1 这里可以看见有三个可以测试的位置,参考源码中的文件地址,可以发现sql注入点存在在test这个测试中,我们dbName注入sql注
CTFHUB-think_java(2020-网鼎杯-朱雀-Web-think_java)
qq_51953382的博客
07-20 347
将编码后的内容填充到命令上,再通过ysoserial获得bin文件,拿到文件之后,我们还需要对其进行base64加密,这里使用的一个Python脚本。但是这是网鼎杯原题的payload,那个题目中flag名称就是flag,是不变的所以可以这么用,通过-d @来提取flag文件内容然后发到自己服务器。获得payload之后,先在咱们的服务器上监听端口之后,在另一个接口处输入payload,来进行反弹shell,注意开头的Bearer保留。进入之后,将我们的得到的信息输入登录实例,来进行调用。
朱雀JAVA游戏_[网鼎杯2020朱雀]Think JAVA
weixin_36087895的博客
02-27 259
前言现在算是取得了很大的希望。但此题必有玄机。这就是朱雀31解的题,tqllllllllllll。下面是现在的功效,然则我照样没能拿到flag……菜,枯了。进入正题下方截图算是hint , 固然对于没有用过swagger-ui的 ,照样不算hint的叭(我都是问的大佬)。他是一个测试接口,我原本分享了swagger-ui的链接来着,然则现在谁人链接好像被接见炸了。(我在文章中已经把链接删了……考...
网鼎2020-朱雀.rar
05-24
【网鼎2020-朱雀】是2020网鼎杯网络安全竞赛中朱雀的相关挑战资料,这个压缩包可能包含了该竞赛的Web类题目。网鼎杯是中国知名的网络安全技术大赛,旨在提升参赛者的网络安全技能,促进网络安全行业的健康发展...
2022年第三届“网鼎杯”网络安全大赛(朱雀)部分题目附件
09-11
2022年第三届“网鼎杯”网络安全大赛(朱雀)部分题目附件
zhuque:朱雀-LeetCode刷题
04-08
朱雀:LeetCode刷题指南》 在编程领域,LeetCode是一个广受开发者喜爱的在线平台,它提供了丰富的算法题目,旨在提升程序员的编程能力和解决问题的技巧。本指南主要聚焦于使用Java语言在LeetCode上进行刷题的实践...
JVM原理(十一):JVM虚拟机六种必需对类进行初始化的情况
zuodingquan666的博客
07-03 515
Java虚拟机把描述类的数据从Class文件加载到内存,并对数据进行校验、转换解析和初始化,最终形成可以被虚拟机直接使用的Java类型,这个过程被称作虚拟机的类加载机制。Java天生可以动态扩展的语言特性就是依赖运行期间动态加载和动态链接这个特点实现的。
ShardingSphere
Casual_Lei的博客
07-04 639
ShardingSphere 通过提供数据分片、分布式事务、数据加密和读写分离等功能,帮助开发者轻松构建高性能、高可用的分布式数据库系统。其灵活的架构设计和丰富的功能模块,使其成为现代分布式数据库中间件的优秀选择。
java 程序、进程 、线程,cpu,并行、并发、启动线程两种方式
gu2022_3_5_21_23的博客
07-02 326
Thread 方式 线程间不可以共享数据,除非变量加 static 变为 静态变量 (每次创建实例,会有一个新的副本)。条件二: 重写 Thread 父类方法 后创建实例调用 start 方法 (创建匿名子类的匿名对象)条件一: 将创建自实现 Runable 接口后的实例 作为参数传递给 Thread 的构造方法。2、将创建自实现 Runable 接口后的实例 作为参数传递给 Thread 的构造方法。最后调用的都是 Thread 的start 的方法。创建的线程对象,都是Thread类或其子类的实例。
如何使用缓存提升SpringBoot性能(EhCache和Redis方式)
三两肉的博客
07-03 1036
缓存是指将文件或数据的副本存储在缓存或临时存储位置中,以便未来对该数据的请求可以更快地提供服务。当从存储中检索数据时,会在缓存中创建该数据的副本。如果再次需要该数据,可以从缓存中比从主存储器中更快地检索到该数据,主存储器可能涉及复杂的计算或较慢的访问速度。如何使用缓存提升SpringBoot性能(EhCache和Redis方式)
maven配置使用nexus仓库
ApexPredator的博客
07-03 215
maven配置使用nexus仓库
JavaSE阶段面试题(一)
tq02的博客
07-03 599
本章节主要讲述SE阶段的常见面试题
返回值处理器器【Spring源码学习】
最新发布
weixin_44794897的博客
07-05 243
定义返回值类型处理器的合;测试使用的controller测试方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值