Awesome

0ctf-2021-2rm1-soln

solution to 2rm1 of 0CTF/TCTF 2021 Quals

This solution uses rebind in the second phase. Detailed writeup is on https://github.com/waderwu/My-CTF-Challenges/tree/master/0ctf-2021/2rm1

因为看到有人的文章里放了这个仓库的链接，所以重构了一下代码，比之前更加简洁明了而且只需要依赖 jrmp 这个库，旧版代码可以查看v0.1.0这个tag。

虽然上面给出了出题人writeup链接，但后续没有再补充细节，不过已经有一些公开的其他选手的writeup和相关的分析文章，因此这里只简单介绍一下这个解法。

rmiserver的jdk版本是8u232，UserInter.sayHello有一个String参数，在此版本下可以让其反序列化任意对象，结合Gadget类就可以RCE。

因为rmiclient会向registry查询0ops对象，然后向server发起RMI调用，所以可以把0ops重新绑定到我们自己实现的恶意的server，让这个server返回一个含有Gadget实例的异常，从而实现RCE。

这个仓库的结构如下：common模块中是题目自带的一些类，evil模块是用于打包成jar后下载到rmiserver上执行的，soln是这个解法的具体实现。

如何复现？把evil模块中用于外带flag的url改成你的；把evil模块打包成jar，放在你的服务器上；把downloadJar方法中的url改成你的jar的url；运行soln模块的main方法即可。