【Web】2024 京麒CTF ezjvav题解
有两层waf,一个是明文流量层面的检测,一个是反序列化过程的检测,前者可以自定义输出流改写序列化数据绕过。另外附上,在打入TemplatesImpl的部分,fj原生反序列化的打法。带着伪造的jwt访问./source,拿到题目源码jar包。waf部分,只看前者的话,就是ban掉了Rome的一些打法。
有两层waf,一个是明文流量层面的检测,一个是反序列化过程的检测,前者可以自定义输出流改写序列化数据绕过。另外附上,在打入TemplatesImpl的部分,fj原生反序列化的打法。带着伪造的jwt访问./source,拿到题目源码jar包。waf部分,只看前者的话,就是ban掉了Rome的一些打法。
