红明谷CTF2021_JavaWeb复现
摘要:红明谷CTF2021-JavaWeb
1、上来看到图标是一个Spring,题目提示/login路径,访问提示/json
访问又跳转回/login
2、尝试Post点东西过去,发现标志性的shiro RememberMe
3、尝试CVE-2020-11989身份验证绕过,发送Jackson报错
4、起个nc在自己的vps上,尝试接受rmi攻击测试,成功
5、直接用JNDI-Injection-Exploit打,先用工具在同一台机子上起rmi服务,curl外带flag
6、然后发送payload,完成攻击:
- 本文标题:红明谷CTF2021_JavaWeb复现
- 本文作者:Hn13
- 本文链接:https://www.hn13.top/2022/01/25/红明谷CTF2021-JavaWeb复现/>
- 发布时间:2022-01-25
- 版权声明:本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处!
