0x00 总体思路题目请看：https://ddctf.didichuxing.com/challenges#%E5%86%8D%E6%9D%A51%E6%9D%AFJava考点3个： padding oracle 任意文件下载 Java反序列化攻击 看同学们解题基本按照我的预想，但细节还是有我没料想到解法。希望大家在做这道题目，展现自己水平的同时，也能细细体会下，学到一些有用的知识。接下来，我就聊聊这几个考点涉及到有趣的故事。 0x01 具体分析1. padding oraclepadding oracle的资料很多，但我看到的大多都是2个block，直接改变IV来加解密。想给大家传递个点是，针对(>2)个block的密文，同样是可以进行PaddingOracle攻击。思路是：将 ...

0x00 复现记录原文章作者已经给出了漏洞环境：https://github.com/artsploit/actuator-testbed 直接run起来就行，不用管报错信息～ 1. 攻击方式一 – 通过eureka组件RCESpring actuator 提供了/env接口来查看和改变应用程序的环境变量～因此，找到了eureka.client.serviceUrl.defaultZone属性～ 记录2个要点: 访问/env时，直接复制下面的请求再改细节，浏览器抓包改会有问题～ 1234567POST /env HTTP/1.1Host: 127.0.0.1:8090Content-Type: application/x-www-form-urlencodedCache-Contro ...

0x00 环境 A flaw was found in Pipeline: Declarative Plugin before version 1.3.4.1, Pipeline: Groovy Plugin before version 2.61.1 and Script Security Plugin before version 1.50. Script Security sandbox protection could be circumvented during the script compilation phase by applying AST transforming annotations such as @Grab to source code elements. Bo ...

0x00 简介之前有个Pwnhub的题目，学习了下http2相关知识，把相关知识简单记录下。题目是gopher协议内网打http2服务，不自己构造http2协议包的，可以用curl配合nc简单构造的小技巧。 123456curl -vv --http2-prior-knowledge 127.0.0.1:1234nc -lvvv 1234 > res.txt # URL编码数据称gopher协议得到返回结果，可以使用nc解码得到flag：nc -lvvv 1234 < response.rescurl -vv --http2-prior-knowledge 127.0.0.1:1234 题目还是主要能让我们学到相关知识，之后我也将博客升级成了https+http2。这里记录下h ...

0x00前言本文主要以Weblogic最新的反序列化漏洞CVE-2018-3191为例，介绍基于RMI的反序列化攻击方法。其中涉及到了Java Exec执行命令的相关知识，在这里整理记录下。在搭建Docker漏洞环境时，遇到了Docker for mac容器与宿主机互通的问题，顺带也记录下～ 0x01 Docker for mac 容器和宿主机互通mac环境下的Docker网络环境和Linux不一样，不能直接ping通容器和宿主机。查了很多文章，最后参考下面2个链接暂时成功～ http://sua7.com/2017/04/29/Docker https://github.com/mal/docker-for-mac-host-bridge。步骤中有2个注意点：1. 每次重启docker，都 ...

0x00 前言这篇文章记录我调试S2-057漏洞的过程，简单记下几个知识点。 0x01 实验环境 Struts 2.5.16.2 tomcat 9.0.11 0x02 成功的POCIDEA真是好用，修改struts配置文件为有漏洞版本，配置tomcat环境，直接运行对应的Struts2-showcase项目就行了。我在mac环境下，POC都调了好长时间，给出能够成功的POC： 1GET /struts2-showcase/$%7B(%23ct=%23request%5B'struts.valueStack'%5D.context).(%23cr=%23ct%5B'com.opensymphony.xwork2.ActionContext.container'%5D).(%23ou=%23c ...

0x00 说明这次DDCTF2018我出了一道Java Web题目“喝杯Java冷静下”，这里记录下一些出题思路和用到的技术。 0x01 出题思路和技术 通过任意文件下载漏洞，下载java配置文件和class字节码文件。 通过blind XXE进行SSRF攻击。 修改Struts2 POC，读写文件。 整个题目由3个Docker环境内联启动。Java程序基于开源项目quick4j开发，升级了相关可能存在风险的第三方Jar包。 很担心大家会走错思路使用shiro框架的反序列化漏洞进行攻击。 为防止搞事，tomcat启动使用gosu工具指定低权限用户www-data进行启动。 Java Blind XXE读文件，如果是多行会有问题，因此我将flag文件设置成了1行。试过ftp协议，可能是JDK ...

0x00 前言官方题目下载链接： http://sec.didichuxing.com/static/upload/attachment//article//20170608/1496941331468739866.zip官方解答视频： http://v.youku.com/v_show/id_XMjgxOTkxNjQ4NA==.html?spm=a2h0k.8191407.0.0&from=s1.8-1-1.2 最近整理资料的时候，想起了当时DDCTF的事情，一直没有整理个writeup。今天我从当时发送题目writeup的邮件里面整理出来，记录一下。客观来讲，题目质量很好，当时让我学习到了很多东西，真的值得好好做一做。嗯为滴滴打call 0x01 Hello这题是Mac下的执行文 ...

0x00 前言有半年没更新博客了，这次记录一下最近在ctf中学到的3个知识点，和其中一个详细的思路。 0x00 perl cgi特性pwnhub最新一期《胖哈勃归来》中，是SECCON 2017 Online CTF原题SqlSRF。但是，这次需要用到perl的语言特性来产生另一个解。这里记录一下我的思路和复现过程，很有意思~ 1. 原题解法源码如下： 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061#!/usr/bin/perluse CGI;my $q = new CGI;use CGI::Session;my ...

0x00 相关资料原始paperSigreturn Oriented Programming (SROP) Attack攻击原理linux系统调用表(system call table) 挺有意思的技术，我就记录一下了。 0x01 smallest题目案例真有意思的pwn题目，让我重新学习了一下pwn。objdump二进制文件，只有几行汇编代码： 123456700000000004000b0 <.text>: 4000b0: 48 31 c0 xor %rax,%rax 4000b3: ba 00 04 00 00 mov $0x400,%edx 4000b8: 48 89 e ...