强网杯 2022 Writeup
💡
原文中文,约12700字,阅读约需31分钟。
📝
内容提要
强网杯2022的Pwn题目涉及myJWT和WP-UM等多个CVE漏洞。选手们通过反序列化和路径遍历等技术成功获取管理员账号和密码,最终找到flag。文章详细描述了利用这些漏洞的过程和技术细节。
🎯
关键要点
- 强网杯2022的Pwn题目涉及多个CVE漏洞,包括myJWT CVE-2022-21449和WP-UM CVE-2022-0779。
- 选手们通过反序列化和路径遍历等技术成功获取管理员账号和密码。
- 利用myJWT漏洞,选手可以通过修改JWT中的admin字段来提升权限。
- WP-UM插件存在路径遍历漏洞,选手通过该漏洞获取存储在特定路径下的管理员账号和密码。
- 选手最终找到flag,展示了对多个漏洞的利用过程和技术细节。
❓
延伸问答
强网杯2022的Pwn题目主要涉及哪些漏洞?
主要涉及myJWT CVE-2022-21449和WP-UM CVE-2022-0779等多个CVE漏洞。
选手是如何利用myJWT漏洞提升权限的?
选手通过修改JWT中的admin字段来提升权限。
WP-UM插件的路径遍历漏洞是如何被利用的?
选手通过路径遍历漏洞获取存储在特定路径下的管理员账号和密码。
选手最终是如何找到flag的?
选手通过获取管理员账号和密码后,登录后台找到flag。
反序列化技术在强网杯2022中是如何应用的?
选手通过反序列化技术还原存储在cookie中的数据,从而获取敏感信息。
强网杯2022的题目难度如何?
题目难度较高,涉及多个复现CVE的题目,考察选手的技术能力。
➡️
