solution to 2rm1 of 0CTF/TCTF 2021 Quals
This solution uses rebind in the second phase.
Detailed writeup is on https://github.com/waderwu/My-CTF-Challenges/tree/master/0ctf-2021/2rm1
因为看到有人的文章里放了这个仓库的链接,所以重构了一下代码,比之前更加简洁明了而且只需要依赖 jrmp 这个库,旧版代码可以查看v0.1.0这个tag。
虽然上面给出了出题人writeup链接,但后续没有再补充细节,不过已经有一些公开的其他选手的writeup和相关的分析文章,因此这里只简单介绍一下这个解法。
rmiserver的jdk版本是8u232,UserInter.sayHello有一个String参数,在此版本下可以让其反序列化任意对象,结合Gadget类就可以RCE。
因为rmiclient会向registry查询0ops对象,然后向server发起RMI调用,所以可以把0ops重新绑定到我们自己实现的恶意的server,让这个server返回一个含有Gadget实例的异常,从而实现RCE。
这个仓库的结构如下:common模块中是题目自带的一些类,evil模块是用于打包成jar后下载到rmiserver上执行的,soln是这个解法的具体实现。
如何复现?把evil模块中用于外带flag的url改成你的;把evil模块打包成jar,放在你的服务器上;把downloadJar方法中的url改成你的jar的url;运行soln模块的main方法即可。