PolarCTF靶场WEB方向Java题目全解析<\/h1>

1. ezjava (2023秋季个人挑战赛)<\/h2>

漏洞类型<\/strong>: SPEL表达式注入<\/p>

解题要点<\/strong>:<\/p>

题目无回显，需要外带flag<\/li>
直接构造SPEL表达式进行注入攻击<\/li> <\/ul>
利用方法<\/strong>:<\/p>

构造恶意SPEL表达式实现命令执行<\/li>
通过DNS外带或其他方式获取flag<\/li> <\/ul>
flag<\/strong>: flag{cab20046-3945-f9f4-7125-7ca2703a31df}<\/code><\/p>
2. CB链 (2023冬季个人挑战赛)<\/h2> 漏洞类型<\/strong>: 反序列化漏洞(CommonsBeanutils链)<\/p> 解题要点<\/strong>:<\/p> user路由接收base64解码后的user参数并反序列化<\/li> 存在CC和CB依赖<\/li> 环境不出网，需打内存马<\/li> <\/ul> 利用方法<\/strong>:<\/p> 构造类加载器(MyClassLoader)动态加载字节码<\/li> 准备内存马内容，base64加密后放入类加载器<\/li> 将类加载器和内存马一起序列化打入<\/li> 通过header进行RCE<\/li> <\/ol> 内存马实现<\/strong>:<\/p> 编写自定义类加载器加载恶意字节码<\/li> 实现命令执行功能并通过header返回结果<\/li> <\/ul> flag<\/strong>: flag{cab20046-3945-f9f4-7125-7ca2703a31df}<\/code><\/p> 3. Fastjson (2024春季个人挑战赛)<\/h2> 漏洞类型<\/strong>: Fastjson反序列化(1.2.24版本)<\/p> 解题要点<\/strong>:<\/p> 环境不出网，需打TemplatesImpl+内存马<\/li> 利用TemplatesImpl加载恶意字节码<\/li> <\/ul> 利用方法<\/strong>:<\/p> 构造TemplatesImpl链的payload<\/li> 结合内存马实现命令执行<\/li> 通过特定header触发执行<\/li> <\/ol> payload构造<\/strong>:<\/p> 使用TemplatesImpl加载恶意类<\/li> 结合内存马实现回显<\/li> <\/ul> flag<\/strong>: flag{d05ce4e30c9a11638763758a2bc44c29}<\/code><\/p> 4. ezJson (2024夏季个人挑战赛)<\/h2> 漏洞类型<\/strong>: Fastjson反序列化(1.2.83版本)<\/p> 解题要点<\/strong>:<\/p> 存在fastjson1.2.83依赖<\/li> 环境不出网，需打内存马<\/li> 使用classloader加载恶意类<\/li> <\/ul> 利用方法<\/strong>:<\/p> 构造fastjson原生反序列化payload<\/li> 使用类加载器加载内存马<\/li> 实现命令执行功能<\/li> <\/ol> flag<\/strong>: flag{410214d0adf4af64394160a7c55e90e4}<\/code><\/p> 5. CC链 (2024夏季个人挑战赛)<\/h2> 漏洞类型<\/strong>: Commons Collections反序列化(3.1版本)<\/p> 解题要点<\/strong>:<\/p> 存在commons-collections 3.1依赖<\/li> 使用CC6链打内存马<\/li> 环境不出网<\/li> <\/ul> 利用方法<\/strong>:<\/p> 构造CC6链的payload<\/li> 结合内存马实现命令执行<\/li> 通过特定方式触发执行<\/li> <\/ol> 内存马实现<\/strong>:<\/p> 利用CC6链触发恶意类加载<\/li> 实现命令执行回显<\/li> <\/ul> flag<\/strong>: flag{cf5fa591bc52e50f25b6269e8d690c13}<\/code><\/p> 6. FastJsonBCEL (2024夏季个人挑战赛)<\/h2> 漏洞类型<\/strong>: Fastjson+Tomcat-dbcp BCEL注入<\/p> 解题要点<\/strong>:<\/p> 同时存在fastjson和tomcat-dbcp依赖<\/li> 利用fastjson打BCEL注入<\/li> 漏洞触发点为JSONObject.parse(jsonString)<\/li> <\/ul> payload构造<\/strong>:<\/p> { "@type": "org.apache.tomcat.dbcp.dbcp2.BasicDataSource", "driverClassLoader": { "@type": "com.sun.org.apache.bcel.internal.util.ClassLoader" }, "driverClassName": " $$ BCEL $$ ..." } <\/code><\/pre> 内存马实现<\/strong>:<\/p> 将恶意类编译为BCEL格式<\/li> 通过BasicDataSource加载执行<\/li> <\/ul> flag<\/strong>: flag{1e96bc6d84ae94cb180a80e1f808f455}<\/code><\/p> 7. SnakeYaml (2024秋季个人挑战赛)<\/h2> 漏洞类型<\/strong>: SnakeYaml反序列化+C3P0 HEX链<\/p> 解题要点<\/strong>:<\/p> 存在C3P0和snakeyaml依赖<\/li> 使用HEX链实现RCE<\/li> 选择CC6链打内存马<\/li> <\/ul> 利用方法<\/strong>:<\/p> 构造HEX格式的恶意类<\/li> 通过SnakeYaml反序列化触发<\/li> 结合CC6链加载内存马<\/li> <\/ol> poc构造<\/strong>:<\/p> 将恶意类转换为HEX格式<\/li> 通过特定yaml结构触发加载<\/li> <\/ul> flag<\/strong>: flag{aab7425dd1d2ab847489b0c710d0a43b}<\/code><\/p> 8. PolarOA (2024春季个人挑战赛)<\/h2> 漏洞类型<\/strong>: Shiro反序列化<\/p> 解题要点<\/strong>:<\/p> 存在rememberMe=deleteMe标志字段<\/li> cookie长度限制3500字节<\/li> 使用DynamicClassGenerator写短内存马<\/li> 打CB链<\/li> <\/ul> 绕过限制<\/strong>:<\/p> 构造精简版内存马<\/li> 使用DynamicClassGenerator减少payload大小<\/li> <\/ul> poc构造<\/strong>:<\/p> 针对3500字节限制优化payload<\/li> 使用CB链触发内存马加载<\/li> <\/ul> flag<\/strong>: flag{d50d0c23-262d-4a16-1046-e55b27ff8f6b}<\/code><\/p> 9. PolarOA2.0 (2024夏季个人挑战赛)<\/h2> 漏洞类型<\/strong>: Shiro反序列化(非默认密钥)<\/p> 解题要点<\/strong>:<\/p> rememberMe字段存在但非默认密钥<\/li> 爆破用户密码为admin\/admin123<\/li> 发现actuator泄露<\/li> 下载heapdump分析得到shirokey<\/li> 加密模式为AES GCM<\/li> Shiro版本1.8.0对应commons-beanutils 1.9.4<\/li> cookie长度限制3000字节<\/li> <\/ul> 利用步骤<\/strong>:<\/p> 爆破获取管理员凭证<\/li> 扫描发现\/actuator\/heapdump<\/li> 分析heapdump获取shirokey: \/G7eW8Ibb3w3Mh3k1ZzIdA==<\/code><\/li> 构造精简版payload适应3000字节限制<\/li> <\/ol> flag<\/strong>: flag{7ca96d0ede726d6a4d68b0c0d7456e11}<\/code><\/p> 10. 一写一个不吱声 (2024秋季个人挑战赛)<\/h2> 漏洞类型<\/strong>: AspectJWeaver任意文件写入+反序列化<\/p> 解题要点<\/strong>:<\/p> 存在aspectjweaver 1.9.5依赖<\/li> 无CC依赖，利用题目自带的UserBean类readObject方法<\/li> 写入恶意字节码到Java目录<\/li> 路径: \/usr\/lib\/jvm\/java-8-openjdk-amd64\/jre\/classes\/<\/code><\/li> 通过反序列化触发恶意readObject<\/li> <\/ul> 利用方法<\/strong>:<\/p> 构造恶意类重写readObject方法<\/li> 在readObject中嵌入BCEL格式的回显马<\/li> 利用poc将恶意类写入指定目录<\/li> 再次反序列化触发执行<\/li> <\/ol> 回显马实现<\/strong>:<\/p> 编写命令执行类<\/li> 编译为BCEL格式嵌入<\/li> <\/ul> poc构造<\/strong>:<\/p> 利用AspectJWeaver文件写入漏洞<\/li> 写入恶意类到可加载路径<\/li> <\/ul> flag<\/strong>: flag{534563e5d4b3db6067b2e708354dbf40}<\/code><\/p> 11. ezUtil (2024冬季个人挑战赛)<\/h2> 漏洞类型<\/strong>: 任意类方法调用+文件上传漏洞<\/p> 解题要点<\/strong>:<\/p> \/admin\/api\/GetClassValue<\/code>路由可反射调用任意类方法<\/li> FileUtil.generateZip可上传任意zip文件<\/li> unZipFile存在目录穿越漏洞<\/li> Filter限制需绕过<\/li> <\/ul> 利用方法<\/strong>:<\/p> 绕过Filter限制: 使用\/admin;admin\/api\/GetClassValue<\/code><\/li> 上传恶意字节码到JAVA_HOME<\/li> 通过反射调用加载恶意类<\/li> 使用BCELClassLoader加载回显马<\/li> <\/ol> Filter绕过<\/strong>:<\/p> handleFilter检查admin\/<\/code>后的..\/<\/code>和;<\/code><\/li> AdminFilter检查路由以\/admin\/<\/code>开头<\/li> 使用\/admin;admin\/<\/code>绕过<\/li> <\/ul> BCELClassLoader实现<\/strong>:<\/p> 将回显马转为BCEL格式<\/li> 嵌入反射调用脚本<\/li> <\/ul> exp构造<\/strong>:<\/p> 构造恶意zip文件包含目录穿越路径<\/li> 上传到指定位置<\/li> 通过反射调用加载执行<\/li> <\/ol> flag<\/strong>: flag{2ccba6a1b34ec052f3510a2ef297e420}<\/code><\/p> 总结<\/h2> 本系列题目涵盖了Java Web安全中的多种漏洞类型和利用技术，包括：<\/p> 表达式注入(SPEL)<\/li> 多种反序列化链(CB、CC、Fastjson、SnakeYaml)<\/li> Shiro反序列化<\/li> 任意文件写入+类加载<\/li> 反射调用+文件上传组合漏洞<\/li> <\/ol> 关键防御建议：<\/p> 及时更新组件版本<\/li> 禁用不必要的反序列化功能<\/li> 对用户输入进行严格过滤<\/li> 限制文件上传路径和内容<\/li> 使用安全配置加固框架<\/li> <\/ul>