L3HCTF bypass出题人视角

最新推荐文章于 2024-02-05 14:29:27 发布
最新推荐文章于 2024-02-05 14:29:27 发布
阅读量2.8k 收藏 1
点赞数 1
文章标签: java tomcat php servlet 人脸识别
个人星球:https://yzddmr6.tk/zsxq/
本文链接:https://blog.csdn.net/qq_43147039/article/details/123178379
版权
本文分享了L3HCTF中一道Java上传绕过题目的出题思路和解题细节。主要涉及了如何绕过后缀限制、可见字符检测以及黑名单检测。通过利用Java与Tomcat对编码解析的不同,以及BCEL字节码技术,展示了在无网络环境下的RCE实现。同时,提到了JNDI注入中可能被忽视的doLookup方法作为绕过手段。
摘要由CSDN通过智能技术生成

@yzddmr6

自己在L3HCTF中出了一道java上传绕过题目bypass。其中题目中的一些trick不仅仅是用于CTF出题,对于实战渗透也是有一定的帮助。今天跟大家分享一下出题时的一些思考跟解题细节。

题目有三道过滤

1. 绕过后缀

public static String checkExt(String ext) {
        ext = ext.toLowerCase();

        String[] blackExtList = {
                "jsp", "jspx"
        };
        for (String blackExt : blackExtList) {
            if (ext.contains(blackExt)) {
                ext = ext.replace(blackExt, "");
            }
        }

        return ext;
    }

后缀jsp/jspx会被替换为空,用双写绕过:jsjspp。常规操作

2. 绕过可见字符检测

第二阶段题目中直接用getString获取FileItem的内容,然后传入了checkValidChars函数检测。checkValidChars函数主要功能是检测content中是否存在连着两个以上的字母数字,如果匹配成功则提示上传失败。

String content = item.getString();
boolean check = checkValidChars(content);
...
    public static boolean checkValidChars(String content) {
        Pattern pattern = Pattern.compile("[a-zA-Z0-9]{2,}");
        Matcher matcher = pattern.matcher(content);
        return matcher.find();
    }

这里其实是模拟了一个WAF的场景,因为很多WAF对于文件上传都会有很粗暴的拦截,碰到jsp标签就给干死。

乍一看似乎并不可能被绕过,因为只要连着两个字母数字就会被检测到,让人不由得想起了CTF经典题目《php无字母数字webshell》。但是java不像php一样支持变量函数,需要从其他地方下手。

这里就用到了一个trick:FileItem.getString()对于编码的解析跟Tomcat解析jsp是有差异的,默认为ISO-8859-1

public String getString() {
    byte[] rawdata = this.get();
    String charset = this.getCharSet();
    if (charset == null) {
        charset = "ISO-8859-1";
    }

    try {
        return new String(rawdata, charset);
    } catch (UnsupportedEncodingException var4) {
        return new String(rawdata);
    }
}

而Tomcat对于jsp编码的解析主要在org.apache.jasper.compiler.EncodingDetector这个类,其中有很多默认用ISO-8859-1无法直接解析的编码。

private EncodingDetector.BomResult parseBom(byte[] b4, int count) {
        if (count < 2) {
            return new EncodingDetector.BomResult("UTF
最低0.47元/天 解锁文章
yzddMr6
关注
提交报文修改检测绕过
rane的博客
03-25 371
提交报文修改检测绕过(前端检测通用) (1)首先选择正常的文件进行上传 (2)通过burpsuite进行截包改包或改包重放完成文件上传 这种方法前端检测绕过通用,不用理解具体前端的检测代码,直接进行上传报文的修改和提交 文件上传示例代码js_check.php <?php //文件上传漏洞演示脚本之js验证 //设置上传之后的文件保存路径 $uploaddir = 'uploads/'; ...
axis2 jar包冲突_axis2报错 jar包冲突
weixin_39621427的博客
12-18 386
org.apache.jasper.JasperException: Unable to compile class for JSPorg.apache.jasper.JspCompilationContext.compile(JspCompilationContext.java:610)org.apache.jasper.servlet.JspServletWrapper.service(Jsp...
axis2报错 jar包冲突
m0_37541971的博客
12-20 1651
org.apache.jasper.JasperException: Unable to compile class for JSP org.apache.jasper.JspCompilationContext.compile(JspCompilationContext.java:610) org.apache.jasper.servlet.JspServletWrapper.servic...
Tomcat版本号问题导致的JSP访问异常
lkforce
02-14 3561
出现问题: 项目在Windows系统下用Ant打包。 在Linux下启动Tomcat,访问项目的Jsp页面时报错,而且每次访问时报错还不一样,有三种情况: 有这样的: HTTP Status 500 – Internal Server Error Type Exception Report Message javax.servlet.ServletException: java.la...
[2021XCTF]L3HCTF-Writeup(Web)
Y4tacker的博客
11-16 2939
文章目录写在前面WebImage Service 1Image Service 2Easy PHPbypass绕过方法一绕过方法二绕过方法Ncover 写在前面 这周刚好比较空就抽了点时间打了下,质量挺高的还是 Web Image Service 1 注册个账号,发现密码不能是admin 进去可以上传图片 flag在admin账户上传的图片 源码都被编译了 感觉在任何地方输入admin 都会被ban, 伪造header也都不行 f12我查看源码的时候发现居然是支持表单提交 不会逆向go,那无源码情况
bypass_bypass_
09-29
適用於近期之xccode之過渡偵測方式之檔案
12306Bypass.zip
04-02
标题的“12306Bypass.zip”表明这是一个与12306网站相关的程序或工具,可能是为了绕过某些限制或者优化购票体验而设计的。12306是国铁路客户服务心的官方网站,主要用于火车票的查询、预订和购买。在节假日或...
bypass-signcode-x3.xem_bypass_TheClient_XingCode_XIgnCode3ByPass
10-01
A host-based emulator bypass for Wellbia's XignCode3.Emulates the integrity-check for XignCode3 through a host-application.A host application launches/initializes XignCode3 causing XignCode3 to run ...
new.bypass_bypass_NEW_免杀_webshell_phpwebshell_
10-03
【标题】"new.bypass_bypass_NEW_免杀_webshell_phpwebshell_" 指的是一种新型的Webshell,它带有“bypass”和“NEW”特性,表明这是一个旨在绕过安全检测,且是最新技术的PHP Webshell。Webshell通常被黑客用于远程...
2024 L3HCTF---Crypto---babySPN revenge
最新发布
2202_75787160的博客
02-05 457
它是一个简化版的AES加密算法(具体为AES的Round 1部分)。简单来说就是hash_value 找出并且看出flag为hash_value加L3HCTF
BUUCTF的web方向的题目(三)
wanan的博客
10-06 1526
BUUCTF的web方向的题目(三)
2021 L3HCTF pwn SPN
yongbaoii的博客
01-20 366
保护没开canary… 不知道啥意思 首先add这里就有问题 size也没范围 index因为限制了v3,v5不能为负,也没范围。 如果能是负数直接数组越界这题也就解决了。 再然后出大问题的是edit 首先给了100字节的堆溢出 再然后看下面那个memcpy,因为我们前面没有限制size的大小,所以我们这里可以任意覆盖bss上TEMPBUF下面的变量 后门函数要求shell等于0. shell这变量 显然就在TEMPBUF下面,我们直接盖过去就可以了。 重点要注意的是我们申请的chunk的序号要.
不安全的文件上传(任意文件上传)---客户端验证和绕过(JS端绕过)
Ethan024的博客
04-10 260
实验平台: 皮卡丘靶场—Unsafe Fileupload—client check 实验步骤: 准备1个写入了一句话木马的php文件,pikachu.php,文件内容如下: 上传一个php文件,查看返回的提示,发现不符合要求: 查看源码,可以看到,当标签状态改变的时候,就会调用checkFileExt()方法 直接查看checkFileExt()方法可发现,此处做了白名单验证,只允许上传jpg, png和gif格式的文件: 在前端做白名单等方法只能起到辅助作用。因此可以在前端删除该
L3H CTF
热门推荐
qq_51584770的博客
11-15 1万+
Easy PHP 思路:当把这段代码复制到本地的时候,发现源码长得很奇怪 if ("admin" == $_GET[username] &‮⁦+!!⁩⁦& "‮⁦CTF⁩⁦l3hctf" == $_GET[‮⁦L3H⁩⁦password]) { //Welcome to include "flag.php"; echo $flag; } 想到用url编码的方式,将源码进行编码 得到: if(“admin”==$_GET[username]&%E2%80%
L3HCTF 2021 | 大吉大利,全民夺旗!
Cyberpeace的博客
10-22 608
​​赛题攻关 战术竞技 带你深度体验网络攻防 组队开黑 策略为王 等你上演一场绝地求生! 第七届XCTF国际网络攻防联赛分站赛 L3HCTF 2021 2021年11月13日09:00-15日09:00 火力全开,等你来战! 本届L3HCTF是由XCTF联赛的合作单位L3H_Sec战队组织,由赛宁网安提供技术支持。作为第七届XCTF国际联赛的分站赛,本次比赛将采用在线网络安全夺旗挑战赛的形式,面向全球开放。 L3H_Sec战队首次作为出题战队参与赛事,赛题风格备受期待。据队长透露,赛题将侧重考察选手的综合
学生信息管理系统,JSP+SSM
立志成为一个前端、后端、测试全方位发展的程序员
12-11 2937
文章目录整体效果展示整体架构展示使用的技术栈编写过程一、基础环境搭建二、查询三、新增四、修改五、删除 整体效果展示 整体架构展示 使用的技术栈 以 Maven 架构项目,使用 Spring + SpringMVC + MyBatis 框架;采用 c3p0 开源 JDBC 数据库连接池连接 MySql 数据库;发送 AJAX 请求获取 JSON 数据,并通过 Dom 动态加载页面;使用了 Spring - Test 与Junit 编写单元测试代码;使用了 Restful 设计风格,以 AJAX 发送 PU
ByPass技术:流量旁路组网策略与实现
"ByPass流量旁路技术组网实现探析" ByPass流量旁路技术是一种网络优化策略,旨在缓解核心路由器的压力,降低其处理大量“过境”流量时的负担,同时减少成本和功耗。该技术通过将这些流量通过光传送管道旁路,利用光...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值