从rw中学习tomcat

最新推荐文章于 2025-01-30 20:21:26 发布
最新推荐文章于 2025-01-30 20:21:26 发布
阅读量1k 收藏
点赞数
分类专栏: CTF复现 文章标签: tomcat java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/anwen12/article/details/122725727
版权

从RWCTF中学习tomcat的操作

0x01 调试tomcat

首先创建一个maven的java项目,然后下载tomcat的源码,然后copy以下文件

参考链接:https://zhuanlan.zhihu.com/p/35454131
y4tacker的github

image-20220127205922493

在这里插入图片描述

差多就这些,就可以启动一个tomcat的调试了。

0x02 解决题目

参考链接:https://mp.weixin.qq.com/s/QQ2xR32Fxj_nnMsFCucbCg

其中最重要的部分就像wp中写得一样,就是在于几个特殊字符的处理

& -> &

< -> &lt;

' -> &#39;

> -> &#39;

" -> &quot;

( -> &#40;

) -> &#41;

最麻烦还是<()

如果只是单纯地没有<我们可以使用el表达式来进行下一步的操作

${Runtiume.getRuntime().exec(param.c)}

如果单纯地没有()我们可以使用unicode来进行绕过。

看到大哥的思路,其实就是看大家从哪里入手。

  • 如果是从jsp方面入手

    就要考虑是否支持el表达式一样动态执行的语法特性,或者有不依赖于<的特性

  • 如果是从el表达式入手

    就是看是否支持编码绕过,或者可以获取内部的对象来实现一些骚操作的。二次解析执行

题解是:

在不使用圆括号的情况下,通过 EL 表达式的取值、赋值特性,获取到某些关键的 Tomcat 对象实例,修改它们的属性,造成危险的影响;
经过许久的尝试,最终我成功用第4个办法完成了利用,从 JSP EL 中自带解析的隐式对象出发,通过组合4个 EL 表达式链,完成了 RCE!

然后作者想到了使用session来进行操作,我们知道在tomcat正常退出的时候会将session写入到SESSION.SER文件,但这个参数其实是可以修改的。

{pageContext.servletContext.classLoader.resources.context.manager.pathname=param.a}

然后再通过执行如下表达式,往 Session 里写数据:

${sessionScope[param.b]=param.c}

这样就可以做到让 Tomcat 正常停止服务时,往一个任意路径下的文件写入部分内容可控的字符串(这部分是不会有特殊字符过滤转义处理的)

?a=/opt/tomcat/webapps/ROOT/session.jsp&b=voidfyoo&c=%3C%25out.println(123)%3B%25%3E

这样就可以做到,想session.jsp中写入print(123);

修改 Context reloadable

但是如何让tomcat关闭或者说,怎么触发写入session,现在是我们必须考虑的问题。除了服务停止或者重启,还可以让部署的程序触发 reload 来做到。

Context reloadable 配置为 true(默认是 false);

/WEB-INF/classes/ 或者 /WEB-INF/lib/ 目录下的文件发生变化。

第一点可以通过el表达式直接修改,第二点是的意思是classes中有class文件修改或者lib目录有新的jar写入,即使这个jar有问题也可以被解析触发reload(因为有脏字符);

修改 appBase 目录

上一步已经达到了上一步的目的就是reload(),但是jar有张数据,所以我们现在,要么把jar文件变合法,要么就是让他换个路劲读取文件来解析。

${pageContext.servletContext.classLoader.resources.context.parent.appBase=param.d}

这个appBase参数就是这个作用,所以当我们把这个更改的时候,他就会重新解析,程序就不会down。

所以综合的exp也就出来了。

${pageContext.servletContext.classLoader.resources.context.manager.pathname=param.a}
${sessionScope[param.b]=param.c}
${pageContext.servletContext.classLoader.resources.context.reloadable=true}
${pageContext.servletContext.classLoader.resources.context.parent.appBase=param.d}

作者的预期解法。exp可以去上面的链接抄

0x03 ASCII ZIP Exploit

这个东西 我觉得是真的牛,有人早在8年前就研究出来了ASCII-ZIP的制作,也就是使用 [A-Za-z0-9] 范围内的字符去构造压缩数据。

  • https://github.com/molnarg/ascii-zip
  • https://github.com/Arusekk/ascii-zip

没看懂原理,但是我大为震惊。

然后据说解出这个题目的两个队伍参考上面的算法,自己构造了一个合理的jar,让脏字符变得合理了。。。。。

这个也是y4哥哥的解法差的那一步了,y4 yyds!

0x04 TRick

${applicationScope}我们可以看到许许多多的那个属性,可以看看哪些可以被我们使用。

这个时候就应该是对着每一个属性进行查文档了。

org.apache.jasper.compiler.StringInterpreter=org.apache.jasper.compiler.StringInterpreterFactory$DefaultStringInterpreter@4c781127

我们主要关注这一个。

Defines the interface for the String interpreter. This allows users to provide custom String interpreter implementations that can optimise String processing for an application by performing code generation for a sub-set of Strings.

the string representing the code that will be inserted into the source code for the Servlet generated for the JSP.

就是在解析jsp的时候他会被触发,也就是当我们访问jsp文件的时候,这个类就会被调用,如果这个类被赋值成我们的恶意类,就可以执行了。

image-20220127230221732

我们可以把这个赋值成我们的类然后写一个get的方法,获知直接代码块也可以。如何让jsp重新编译就不用多说了。写入一个,访问就可以了。

image-20220127231353876

这个jar的加载,WEB-INF/tomcat-web.xml

而是借助修改 Tomcat Context WatchedResource 来触发:

WatchedResource - The auto deployer will monitor the specified static resource of the web application for updates, and will reload the web application if it is updated. The content of this element must be a string.

在 Tomcat 9 环境下,默认的 WatchedResource 包括:

  • WEB-INF/web.xml
  • WEB-INF/tomcat-web.xml
  • ${CATALINA_HOME}/conf/web.xml

大概就是这个思路了,下面进行测试。https://tomcat.apache.org/tomcat-9.0-doc/config/context.html

image-20220127231830734

0x05 Test

org.apache.jasper.compiler.StringInterpreter 加载恶意类

首先写入el表达

${applicationScope[param.a]=param.b}

在web-inf/lib下面写入jar文件。

然后在WatchedResource插入注释或者新建文件。然后再上传一个jsp任意访问即可。

image-20220127233234668

Tomcat下/META-INF/lib中被加载的jar,为什么可以在其/METAINF/resources/下直接写jsp可以直接访问执行

image-20220127235157954

可以看到其中需要加入到那个路劲中的一些来源,可以通过这些来达到和jsp文件的直接访问。
在这里插入图片描述

Tomcat下/META-INF/lib中被加载的jar,为什么可以在其/METAINF/resources/下直接写jsp可以直接访问执行

在这里插入图片描述

可以看到其中需要加入到那个路劲中的一些来源,可以通过这些来达到和jsp文件的直接访问。

【云原生】prometheus结合jmx exporter 的http server模式采集tomcat监控实战
低调,谦虚,自律,反思,成长,保持热爱,奔赴梦想
03-13 4911
【云原生】prometheus结合jmx exporter 的http server模式采集tomcat监控实战
在 CentOS 7 中安装 Docker 和创建 Tomcat 容器并部署Web应用
iw1210的专栏
12-14 7543
在 CentOS 7 中安装 Docker 和创建 Tomcat 容器并部署Web应用 一般部署Web应用都需要安装数据库,比如 MySQL 和 Redis,MySQL 和 Redis 属于多个Web应用公用的系统,所以就不需要安装到 Docker 里了,直接在操作系统里安装就好。所以,本文只讲解如何在 Docker 里创建 Tomcat 容器并部署Web应用,那么有人会问,在 Docker 里...
[RWCTF2022]DesperateCat(tomcat相关利用姿势)
weixin_43610673的博客
02-10 1318
关键词:el表达式、ASCII ZIP Jar、tomcat reload 、jsp编译过程中StringInterpreter执行、META-INF/resources/下文件加载进webResource 解压war包得到源码,一个上传功能,设置了编码为utf-8 写入的文件后缀可控、没有检查;但文件名不可控,会被替换为随机字符串;可指定文件的写入目录,且写入文件时如果文件所在的目录不存在,会递归进行父目录的创建,可进行目录穿越;写入的文件内容可控,且以字符串编码的形式写入(而非直接传递的字节流),但前后
CTF-Tomcat后台弱口令漏洞利用
asd158923328的博客
08-24 2350
根据题意 进入环境,随便点击靶机链接,跳出一个登录界面,因为题目提示网站后台账号密码存在弱口令,用burpsuite爆破得到账号密码为:admin/123456 登录进去过后,发现有一个上传界面,根据解题方向上传一个war木马即可: war木马的制作过程: jsp木马源码 <% if(“023”.equals(request.getParameter(“pwd”))){ java.io...
【blueteam-ctf-challenges流量取证部分】Tomcat Takeover Blue Team Challenge
weixin_64836216的博客
11-07 331
Tomcat Takeover Blue Team Challenge 一道关于tomcat漏洞的流量分析题(一边学流量取证,一边学渗透),难度不大,适合了解打tomcat漏洞的流程,同时熟悉流量分析
[CTFSHOW]命令执行
Y4tacker的博客
11-20 1万+
文章目录web 29web 30web 31web32web40参考文章 web 29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 我这里只想到五种简便的方法: 通配符 payload1:c=syst
buuctf [Tomcat]CVE-2017-12615
qq_1873822的博客
03-17 1740
漏洞简介 当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。 漏洞影响 Apache Tomcat 7.0.0 – 7.0.81 ...
云计算学习之KEEPALIVED高可用、NGINX性能优化、TOMCAT部署
qq_27302885的博客
01-30 1373
``bash1.LB01 nginx负载均衡 keepalived https2.LB02 nginx负载均衡 keepalived httpsNginx服务+PHP服务+会话保持wordpresszhphpmyadmin业务静态文件挂载到NFS动态数据连接到db014.db01 mariadb服务 redis服务5.nfs nfs-utils服务 lsync实时同步静态数据到backup服务的nfs目录下。
Tomcat部署及优化
m0_57339745的博客
11-15 554
目录 一、tomcat 1. Tomcat概述 2. Tomcat的组件 3. Java Servlet 4. JSP 5. Tomcat顶层架构 6. Container的子容器 7. Tomcat请求过程 二、Tomcat安装部署 1. 关闭防火墙,将安装Tomcat所需软件包传到/opt目录下 2. 安装JDK 3. 设置JDK环境变量 4. 测试java 5. 安装启动Tomcat 6. 优化启动Tomcat 7. Tomcat主要目录 三、虚拟主机配置 1. 创
Docker镜像学习,构建jdk+tomcat镜像
weixin_43869261的博客
07-17 808
Docker镜像学习 什么是镜像 镜像是可执行的独立软件包,包括代码,运行时的库,环境变量和配置文件 所有的应用直接打包成docker镜像,可以直接跑起来。 如何得到镜像 Docker pull 从别人获取 自己打包制作镜像 DockerFile UnionFS(联合文件系统) 分层下载镜像的层目的是公用资源重复利用 UnionFS:分层,轻量,高性能的文件系统,支持对文件系统的修改作文一次提交达到一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下。Docker镜像可以通过分层来进行继承,可以制
以CTF题为例,浅学一些JAVAweb项目相关知识
Welcome To MakaRi's Blog!
03-22 2478
本文更加偏重于学习题目有关的JAVA知识,而非解题思路,题目的解题与本文讲到的知识点大多无关。但是通过题目学习这些知识可以帮助理解JAVA中web服务和数据库连接的实现,知道了JAVA如何启动服务以及如何连接数据库,这是以后进行JAVA安全学习的前提和基础。本人大一,比较菜且基础薄弱,如有错误还望大佬指点。
MySQL安全登录策略
Innocence_0的博客
06-03 2185
进入 MySQL 命令行,通过 show plugins;或者show variables like ‘validate%’;相关参数可以判断是否已安装此插件。若没有相关参数则代表未安装此插件安装前检查 为空则说明未安装此插件。
NewStarCTF2023week4-溯源
Welcome To Myon'Blog !
10-28 1481
中国菜刀、蚁剑的攻击流量特征明显,容易被各类安全设备检测,而冰蝎是一款基于Java开发的动态加密通信流量的Webshell工具,由于通信流量被加密,传统的 WAF、IDS 设备难以检测,冰蝎最大特点就是对交互流量进行对称加密(冰蝎密文采用对称加密算法AES加密,加密后还会进行 base64 编码),且加密秘钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。像下面这种格式的就是AES的密文,红色部分是请求报文,蓝色部分是响应报文。这是对同一个http协议的包追踪http流和tcp流的不同结果。
[RoarCTF 2019]Easy Java学到的tomcat安全小知识
weixin_44377940的博客
06-15 444
目录题目知识点梳理:WEB-INF目录疑惑之处关于javaIO 题目 点进去看到这个登陆框: 点击help,发现URL发生变化,且多了一条报错信息 把发包方式换成POST,发现可以下载help.docx: 下载help.docx后,发现什么都没有。于是我们构造一个错误的POST包,得到它的文件路径: 接下来就好办了。 WEB-INF是Java的WEB应用的安全目录。所谓安全就是客户端无法访问,只有服务端可以访问的目录。以我下的Tomcat里的例子来看: /WEB-INF/web.xml 你的We
CTF web总结
热门推荐
giantbranch的专栏
04-09 8万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.youkuaiyun.com/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
墨者学院-Tomcat 远程代码执行漏洞利用(第1题)
臭nana的博客
01-02 1136
刷新页面,进行抓包,右击发送到repeater 将GET改为OPTIONS,查看允许的请求方式 再改为PUT,写进一个jsp木马,,返回201,代表写入成功,代码内容如下 &lt;%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%&gt; &lt;%!public static Strin...
TOMCAT(CVE-2017-12615)远程代码执行
大方子
07-29 1234
复现环境 win2003 tomcat/7.0.75 复现过程 安装jdk和tomcat 然后在tomcat的配置文件web.xml中添加下面这段代码,并重启 <init-param> <param-name>readonly</param-name> ...
2020-11-03
B_lacksweater的博客
11-03 317
C++primer第五版 1.4.1节 练习1.13 #include<iostream> int main() { int sum=50; for(int val=51;val<=100;++val) sum+=val; std::cout<<" sum of 50 to 100 inclusive is"<< sum <<std::endl; system("pause"); return 0; }
入侵Tomcat服务器一次实战描述
javaqun的博客
10-21 5749
到网上随便逛逛,我就会发现用JSP制作的电子商务网站多如牛毛,从JSP日渐繁荣的局面来看,适合于各种平台而且免费的Tomcat逐渐成为WEB服务器的一种选择。eBay.com与Dell计算机等知名网站都采用或者曾经采用Tomcat的Container容器执行Servlet 与JSP,可想而知这个服务器软件所具有的前途。那他们的安全性如何呢?一起来看看吧!  小知识:Tomcat是Sun的JS
强化学习rw
最新发布
03-29
<think>好的,我现在需要帮助用户了解强化学习中的RW算法,也就是Reward Weighting(奖励加权)的相关概念和实现。首先,我需要确认用户提到的“RW”具体指什么,因为强化学习中并没有一个广泛称为RW的标准算法。可能用户指的是奖励加权方法,或者是某种特定算法如Reward Shaping中的技术,或者是其他变体。根据提供的引用内容,用户可能是在研究基于人类反馈的强化学习(RLHF),比如DPO(引用[2])或PPO(引用[3]),这些方法中奖励模型的设计和优化是关键。 首先,引用[1]提到强化学习的基本模型是马尔可夫决策过程(MDP),而奖励函数在其中至关重要。奖励加权可能在策略更新时调整不同奖励信号的权重,以优化策略。引用[2]讨论了RLHF中使用奖励模型来指导微调,但未直接提到RW。引用[3]涉及PPO算法在NLP中的应用,其中奖励设计是关键。引用[4]中的Q-Learning涉及奖励的累积,可能与奖励加权有关。 接下来,我需要确定RW的具体定义。可能用户指的是奖励加权作为一种策略更新方法,例如在策略梯度中,根据奖励的大小调整梯度更新的权重。例如,在REINFORCE算法中,策略梯度与累积奖励成正比,这可以视为一种奖励加权。此外,在奖励塑造(Reward Shaping)中,通过调整奖励信号的权重来引导智能体学习,这也可能与RW相关。 然后,我需要解释RW的概念,可能涉及以下方面:基本思想(调整奖励权重以优化策略)、算法步骤(定义奖励函数、计算权重、更新策略)、实现要点(权重设计、稳定性、探索与利用)。同时,结合用户提供的引用,尤其是RLHF和DPO的内容,说明RW在调整人类反馈奖励中的应用。 在实现部分,可以提供一个简单的代码示例,例如基于策略梯度的奖励加权实现,使用Python和PyTorch。代码需要包括策略网络的定义、选择动作的方法、以及根据加权奖励更新策略的步骤。同时,需要解释关键点,如奖励归一化和学习率调整。 最后,生成相关问题,涵盖RW与其他方法的对比、应用场景、挑战、与深度学习的结合,以及具体案例如机器人控制和游戏AI中的应用。确保问题能够引导用户进一步探索。 需要验证所有信息是否正确,尤其是奖励加权的常见应用和算法步骤是否准确。同时,确保引用标记正确,引用内容与解释部分相关。例如,引用[2]提到DPO作为RLHF的替代方法,而RW可能用于优化奖励模型,这需要正确关联。</think>### 强化学习中的奖励加权(Reward Weighting, RW) #### 概念解析 在强化学习中,**奖励加权(Reward Weighting, RW)** 是一种通过调整不同奖励信号的权重来优化策略的方法。其核心思想是:在多目标或复杂任务中,不同奖励信号可能对最终目标的贡献程度不同,通过合理分配权重,智能体可以更高效地学习到最优策略[^1]。例如,在基于人类反馈的强化学习(RLHF)中,奖励加权可用于平衡“人类偏好”与“模型原始性能”的权重[^2]。 #### 实现方法 1. **基本流程** - **定义奖励函数**:将任务目标分解为多个子奖励,例如$r = w_1 r_1 + w_2 r_2 + \dots + w_n r_n$,其中$w_i$为权重。 - **计算权重**:可通过手动设定、动态调整(如基于任务进度)或自动优化(如元学习)确定。 - **策略更新**:使用加权后的总奖励$r$驱动策略优化算法(如策略梯度、Q-Learning等)[^4]。 2. **代码示例(基于策略梯度)** ```python import torch import torch.nn as nn class PolicyNetwork(nn.Module): def __init__(self, state_dim, action_dim): super().__init__() self.fc = nn.Sequential( nn.Linear(state_dim, 64), nn.ReLU(), nn.Linear(64, action_dim), nn.Softmax(dim=-1) ) def forward(self, state): return self.fc(state) # 初始化策略网络和优化器 policy = PolicyNetwork(state_dim=4, action_dim=2) optimizer = torch.optim.Adam(policy.parameters(), lr=0.01) def select_action(state): state = torch.FloatTensor(state) probs = policy(state) action = torch.multinomial(probs, 1).item() return action def update_policy(rewards, weights, states, actions): discounted_rewards = [] cumulative = 0 for r, w in zip(reversed(rewards), reversed(weights)): cumulative = r * w + 0.99 * cumulative # 加权折扣奖励 discounted_rewards.insert(0, cumulative) # 策略梯度更新 optimizer.zero_grad() loss = 0 for state, action, dr in zip(states, actions, discounted_rewards): prob = policy(torch.FloatTensor(state))[action] loss += -torch.log(prob) * dr loss.backward() optimizer.step() ``` #### 关键点说明 - **权重设计**:在RLHF中,权重可能用于平衡“人类偏好得分”与“语言流畅性”等指标[^2]。 - **稳定性**:需对奖励进行归一化(如$r_i \leftarrow \frac{r_i - \mu}{\sigma}$),避免梯度爆炸[^3]。 - **探索与利用**:可结合熵正则化(Entropy Regularization)鼓励策略多样性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值