摘要:
老实说,这道题有点小折磨,尤其是对我这个java反序列化才入门的菜鸡来说。 这里基本上就是跟着官方wp走了,写的也很详细。 而且也记录了开java17加JVM参数使java.lang包能反射的操作,idea中找到VM options选项_idea vm options-CSDN博客 总之,收获真的丰 阅读全文
摘要:
源码审计 下载附件得war包,bandzip解压一下,审一下源码: 这个没啥东西。 反序列化入口,但是访问这里是需要绕过的: 其实绕过也很简单,双斜杠就绕了:web.xml filter 绕过匹配访问(针对jetty)_jetty权限绕过-CSDN博客 看lib里有啥依赖: fastjson1.2. 阅读全文
摘要:
就得审java。 又更新了,因为我前面jar包导不进去,所以把它解压了导入的,然后环境正常了就想起来把这个打了。 路由分析 老规矩,先看看路由: /read路由下传参data,pyload不能包含!!,然后用了yaml来load传入的参数。 稍作了解,这其实就是 SnakeYaml 反序列化漏洞,禁 阅读全文
摘要:
玩了三天,做做题复健。 这次看到的题是CISCN的seaclouds,这道题没直接用java原生反序列化。 审计分析 审一下源码: 一个MessageController.java,访问根路由传参message, 那么它会解码一个硬编码的Base64字符串。如果message参数不为null,那么它 阅读全文
摘要:
拿到jar包,审一下源码。 先看pom.xml的依赖: rome反序列化没跑了。 再看到MainController.java: 这里设置了一个hello路由,可以传参baseStr,但是长度不能超过1956,如果满足条件,就会到下面base64解码然后反序列化。 其他的没啥好看的。 所以思路还是很 阅读全文
摘要:
下载附件看到依赖CC3.1,没有waf,直接CC5打了。 package com.eddiemurphy; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functor 阅读全文
摘要:
没错,还是java。 我就跟java杠上了。 分析 先看依赖: 没有啥特别的。 审一下源码: IndexController.java: warmup路由下传参data,下面把十六进制转为字节直接反序列化了。 看下动态代理MyInvocationHandler.java: 看一下Utils的hexS 阅读全文
摘要:
发现我java基础不牢,做点老题,多思考思考。 打开jar包先看到MainController.class: /index路由设置一个cookie,访问的时候没设置cookie就会重定向到hello路由。 这个cookie也就是username和password进行serialize来的,看到下面序 阅读全文
摘要:
怎么全是傻逼绕过题。 不想评价,就随便打着玩,除了最后一道java反序列化搞心态,其他的ak了: 简单题不想说,http注意一下代理是用Via就行,warmup直接: http://xyctf.top:37034/?val1=240610708&val2=QNKCDZO&md5=0e21596201 阅读全文