type
status
date
slug
summary
tags
category
icon
password
前言
实力吐槽这次比赛
- 初赛环境老是炸,最后30多分钟都炸了,答案都提交不了
- 晋级塞,,题目也偶尔会出现断开的问题,,第二个web题,,竟然一开始直接返回空,后来又可以了??不知道是不是只有我遇到这个问题,,晕
- 而且,,晋级赛竟然不是uuid式动态flag。。。。?
old
任意文件读取,不过
flag.txt 读不了,但可以看 hint.txt,smali 字节码,提示了 fastjson 1.2.24
先读取本进程相关目录
在
/usr/local/run/start.jar 获取源码,IDEA打开分析
原来过滤了
flag ,怪不得读取不了往反序列化方向,不过有
waf
然后还有限制
这里卡了挺久,试了网上很多EXP,都不行
然后突然想起fastjson反序列化的原理
一般是需要别的库的配合,通过反射获取相关方法的
于是我一个个依赖找
搜了下 spring ,没有相关漏洞,但是在
tomcat dbcp 里刚好发现了可以利用,而且不用利用 rmi ldap 之类的
然后刚好用到
BCEL,HFCTF2021也刚好用到, 刚好复现过了,所以非常熟练 (
编写
java poc,转换为 class 然后生成 BCEL 码这样可以
绕过waf的黑名单,即绕过了第1个challenge还有2个
challenge,这个简单,就长度大于2000,然后需要包含 flag 关键字这里直接把
/flag.txt 改一下名读取即可
try_js
审计源码
你要
merge,那我可就不困了,明显的原型连污染污染一下原型
即可成功登录
接下来,就没有然后了,,
除了输入黑名单以外的东西,都是直接断开连接,晕
emm 快结束了,,环境就可以了???
先
fuzz
.DS_Store 是mac的备份文件,有的小伙伴应该遇到过,就解压了mac的压缩包,莫名其妙多了这个文件通过
shellme.php 得知 flag 在 /var/www/flag然后通过
y0u_w1ll_s3e_Me.txt 知道源码也就是
y0u_w1ll_s3e_Me.php 的源码就反序列化,,亿下,,就可以了,但时间不够了,,晕