type
status
date
slug
summary
tags
category
icon
password
前言
实力吐槽这次比赛
- 初赛环境老是炸,最后30多分钟都炸了,答案都提交不了
- 晋级塞,,题目也偶尔会出现断开的问题,,第二个web题,,竟然一开始直接返回空,后来又可以了??不知道是不是只有我遇到这个问题,,晕
- 而且,,晋级赛竟然不是uuid式动态flag。。。。?
old
任意文件读取,不过
flag.txt
读不了,但可以看 hint.txt
,smali
字节码,提示了 fastjson 1.2.24
先读取本进程相关目录
在
/usr/local/run/start.jar
获取源码,IDEA
打开分析原来过滤了
flag
,怪不得读取不了往反序列化方向,不过有
waf
然后还有限制
这里卡了挺久,试了网上很多EXP,都不行
然后突然想起fastjson反序列化的原理
一般是需要别的库的配合,通过反射获取相关方法的
于是我一个个依赖找
搜了下 spring ,没有相关漏洞,但是在
tomcat dbcp
里刚好发现了可以利用,而且不用利用 rmi ldap
之类的然后刚好用到
BCEL
,HFCTF2021也刚好用到, 刚好复现过了,所以非常熟练 (编写
java poc
,转换为 class
然后生成 BCEL
码这样可以
绕过waf的黑名单
,即绕过了第1个challenge
还有2个
challenge
,这个简单,就长度大于2000
,然后需要包含 flag
关键字这里直接把
/flag.txt
改一下名读取即可try_js
审计源码
你要
merge
,那我可就不困了,明显的原型连污染污染一下原型
即可成功登录
接下来,就没有然后了,,
除了输入黑名单以外的东西,都是直接断开连接,晕
emm 快结束了,,环境就可以了???
先
fuzz
.DS_Store
是mac
的备份文件,有的小伙伴应该遇到过,就解压了mac
的压缩包,莫名其妙多了这个文件通过
shellme.php
得知 flag
在 /var/www/flag
然后通过
y0u_w1ll_s3e_Me.txt
知道源码也就是
y0u_w1ll_s3e_Me.php
的源码就反序列化,,亿下,,就可以了,但时间不够了,,晕