WEB-CC链 一、查看题目信息 题目给出一个jar包，反编译后查看Controller层内容如下： /read路由下存在反序列化操作。 二、题目分析 查看pom.xml文件 注意到存在commons-collections依赖，且版本为3.1。可使用CC链打反序列化。 cc链执行任意命令的链子因为靶场不出网所以无法获取flag，这里就不多赘述，还是以打回显链为目的，可...

Dromara_hutool_aviator表达式注入漏洞（CVE-2023-24163） 1 漏洞简介 Hutool是一个功能丰富且易用的Java工具库，通过诸多实用工具类的使用，旨在帮助开发者快速、便捷地完成各类开发任务。 这些封装的工具涵盖了字符串、数字、集合、编码、日期、文件、IO、加密、数据库JDBC、JSON、HTTP客户端等一系列操作， 可以满足各种不同的开发需求。 Dr...

Java安全之BCEL ClassLoader BCEL ClassLoader如何使用 在JDK<JDK8u251的版本里BCEL这个包中有个有趣的类com.sun.org.apache.bcel.internal.util.ClassLoader，他是一个ClassLoader，但是他重写了Java内置的ClassLoader#loadClass()方法。 在ClassLoa...

CommonsCollections1 CC1TransformedMap链 org.apache.commons.collections.functors.InvokerTransformer 危险类InvokerTransformer的实现如下： InvokerTransformer类实现的transform方法可执行任意方法，也是反序列化执行命令的关键。 transf...

CommonsBeanutilsString 在shiro 1.2.4中是默认存在一个CommonsBeanutils 1.8.3的依赖的，所以打shiro反序列化时可以尝试使用CommonsBeanutilsString打，也就是不依赖cc的链子。 为什么CommonsBeanutils1不行呢？ // CommonsBeanutils1 final BeanCom...

CommonsBeanutils1 我们可以找到这么一个类org.apache.commons.beanutils.BeanComparator ，他的compare方法如下： public int compare(T o1, T o2) { if (this.property == null) { return this.internalCom...

WEB-ezJson 一、查看题目信息 题目给出一个jar包，反编译后查看Controller层结构如下： 二、题目分析 查看IndexController文件内容如下: 查看ReadController文件内容如下: 注意到该类中存在readObject方法且传入参数data可控，所以存在Java反序列化漏洞。 查看pom.xml文件内容如下： <?xml...

WEB-PolarOA2.0 一、查看题目信息 题目给出一个登录界面，跟前PolarOA题目我们知道考察shiro相关利用方式。 二、题目分析 使用工具探测到shiro框架，尝试爆破并未爆破出Key，考虑使用的高版本shiro，可尝试使用其他方式获取key。 考虑是SpringBoot项目，可尝试是否存在端点泄露。 访问http://url/actuator，跳转到登录界...

Old-shiro题解 一、题目分析 访问如下： 注意到Remermber me同时考察的是Shiro，果断打✔尝试登录抓包。 发现关键字为rememberMe_rwctf_2024（反编译jar包也可以看到），看一下pom.xml依赖。 shiro 1.2.4是存在默认key的，验证一下： 同时注意到有cb1.9.2，直接爆破一下利用链吧。 果然“没”链子...

ATK&CK红队评估实战靶场（一） 一、前言 ATK&CK红队评估实战靶场（一）下载地址 : http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 红队实战系列，主要以真实企业环境为实例搭建一系列靶场，通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建，开成完整闭环。后续也会搭建真...