该文被密码保护。 阅读全文
摘要:
源码审计 下载附件得war包,bandzip解压一下,审一下源码: 这个没啥东西。 反序列化入口,但是访问这里是需要绕过的: 其实绕过也很简单,双斜杠就绕了:web.xml filter 绕过匹配访问(针对jetty)_jetty权限绕过-CSDN博客 看lib里有啥依赖: fastjson1.2. 阅读全文
摘要:
就得审java。 又更新了,因为我前面jar包导不进去,所以把它解压了导入的,然后环境正常了就想起来把这个打了。 路由分析 老规矩,先看看路由: /read路由下传参data,pyload不能包含!!,然后用了yaml来load传入的参数。 稍作了解,这其实就是 SnakeYaml 反序列化漏洞,禁 阅读全文
摘要:
玩了三天,做做题复健。 这次看到的题是CISCN的seaclouds,这道题没直接用java原生反序列化。 审计分析 审一下源码: 一个MessageController.java,访问根路由传参message, 那么它会解码一个硬编码的Base64字符串。如果message参数不为null,那么它 阅读全文
摘要:
拿到jar包,审一下源码。 先看pom.xml的依赖: rome反序列化没跑了。 再看到MainController.java: 这里设置了一个hello路由,可以传参baseStr,但是长度不能超过1956,如果满足条件,就会到下面base64解码然后反序列化。 其他的没啥好看的。 所以思路还是很 阅读全文
摘要:
下载附件看到依赖CC3.1,没有waf,直接CC5打了。 package com.eddiemurphy; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functor 阅读全文
摘要:
没错,还是java。 我就跟java杠上了。 分析 先看依赖: 没有啥特别的。 审一下源码: IndexController.java: warmup路由下传参data,下面把十六进制转为字节直接反序列化了。 看下动态代理MyInvocationHandler.java: 看一下Utils的hexS 阅读全文
摘要:
发现我java基础不牢,做点老题,多思考思考。 打开jar包先看到MainController.class: /index路由设置一个cookie,访问的时候没设置cookie就会重定向到hello路由。 这个cookie也就是username和password进行serialize来的,看到下面序 阅读全文
摘要:
怎么全是傻逼绕过题。 不想评价,就随便打着玩,除了最后一道java反序列化搞心态,其他的ak了: 简单题不想说,http注意一下代理是用Via就行,warmup直接: http://xyctf.top:37034/?val1=240610708&val2=QNKCDZO&md5=0e21596201 阅读全文
摘要:
点击2024那个看更新 受不了了。 打的题目是网鼎杯2020玄武组的SSRFMe。 打了一天,都是在module load那里失败,开了vps也不行,难道是redis版本对不上? 话不多说,我直接上payload,实在受不了了。 [root@EddieMurphy redis-7.0.2]# red 阅读全文