2025 CISCN&CCB TimeCapsule详细解题教程<\/h1>

1. 环境搭建<\/h2>

使用jadx-1.5.1反编译jar包<\/li>

保存所有源码，得到resource和source目录

source目录下为源码，仅保留com.ctf代码<\/li>
resource为资源文件，依赖包存放在resource\/BOOT-INF\/lib下<\/li> <\/ul> <\/li>

修改端口配置（如8080被占用）

在IDEA中添加修改选项调整端口<\/li> <\/ul> <\/li> <\/ol>

2. 反序列化链分析<\/h2>

漏洞点<\/h3>

在\/capsules\/import<\/code>路由下存在反序列化操作<\/li>

存在黑名单过滤机制<\/li>
<\/ul>
可利用类<\/h3>

发现一个继承InvocationHandler<\/code>代理和Serializable<\/code>反序列化的工具类<\/li>
允许在触发readObject<\/code>时走到这个工具类<\/li>
<\/ul>
链子后半段<\/h3>

环境包含h2、jackson，且为jdk8版本<\/li>
利用signObject<\/code>二次反序列化的jackson依赖<\/li>
<\/ul>
链子前半段<\/h3>

尝试使用HashMap触发proxy.equals<\/code>调用invoke<\/code><\/li>
发现hashCode<\/code>也有invoke<\/code>方法且会先触发<\/li>
解决方案：使用CC2的PriorityQueue<\/code>思路

让comparator<\/code>方法做代理，在反序列化时调用invoke<\/code>方法<\/li>
使用动态代理中的invoke()<\/code>方法代替CC2中的TransformingComparator<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
EXP构造<\/h3>
\/\/ 测试类
<\/span><\/span><\/span><\/span>TestTemplatesImpl.<\/span>class<\/span>
<\/span><\/span>\/\/ 用于验证链子是否有效
<\/span><\/span><\/span><\/code><\/pre>修复方案<\/h3>

将代理类的invoke<\/code>方法置空即可绕过检查<\/li>
<\/ul>
3. 密码学部分分析<\/h2>
加密工具类<\/h3>

使用AES算法、CTR模式、无填充<\/li>
<\/ul>
CTR模式特点<\/h3>

通过逐次累加计数器加密生成密钥流<\/li>
最终密文分组=计数器加密的比特序列 XOR 明文分组<\/li>
<\/ul>
加密流程<\/h3>


encrypt<\/code>方法<\/p>

输入：byte[]数组和key<\/li>
创建新数组combined(IV长度+加密数据长度)<\/li>
将IV复制到combined前面，加密数据复制到后面<\/li>
<\/ul>
<\/li>

decrypt<\/code>方法<\/p>

输入：base64数据和key<\/li>
使用密文前16字节作为IV<\/li>
对剩余密文进行解密<\/li>
<\/ul>
<\/li>
<\/ol>
攻击思路<\/h3>

已知：原明文、原密文、IV可控<\/li>
类似AES-CBC字节翻转攻击<\/li>
<\/ul>
攻击脚本<\/h3>
# 密钥流生成后，构造任意密文<\/span>
<\/span><\/span># 每16字节密钥流与明文异或<\/span>
<\/span><\/span># 处理非16倍数情况：使用min函数取剩余数据<\/span>
<\/span><\/span><\/code><\/pre>4. 完整复现步骤<\/h2>


注册<\/strong><\/p>

完成用户注册流程<\/li>
<\/ul>
<\/li>

加载恶意字节码<\/strong><\/p>

准备并加载攻击用的恶意字节码<\/li>
<\/ul>
<\/li>

导出原明文<\/strong><\/p>

通过本地测试获取原明文数据<\/li>
访问特定路由获取<\/li>
<\/ul>
<\/li>

导出原密文<\/strong><\/p>

从系统获取原始加密数据<\/li>
<\/ul>
<\/li>

生成新密文<\/strong><\/p>

运行Python脚本生成攻击用密文<\/li>
<\/ul>
<\/li>

命令执行<\/strong><\/p>

通过构造的密文实现反弹shell或命令执行<\/li>
注意：需使用Python发包才能成功执行命令<\/li>
<\/ul>
<\/li>
<\/ol>
关键点总结<\/h2>

反序列化链构造需结合动态代理和PriorityQueue<\/li>
CTR模式攻击需精确控制IV和密钥流<\/li>
完整攻击需分阶段获取明文、密文并构造最终payload<\/li>
实际测试表明Python发包比Java实现更可靠<\/li>
<\/ol>

2025 CISCN&CCB TimeCapsule详细解题教程<\/h1>

2. 反序列化链分析<\/h2>

3. 密码学部分分析<\/h2>

关键点总结<\/h2> 反序列化链构造需结合动态代理和PriorityQueue<\/li> CTR模式攻击需精确控制IV和密钥流<\/li> 完整攻击需分阶段获取明文、密文并构造最终payload<\/li> 实际测试表明Python发包比Java实现更可靠<\/li> <\/ol>

关键点总结<\/h2>

反序列化链构造需结合动态代理和PriorityQueue<\/li>
CTR模式攻击需精确控制IV和密钥流<\/li>
完整攻击需分阶段获取明文、密文并构造最终payload<\/li>
实际测试表明Python发包比Java实现更可靠<\/li> <\/ol>