CTF/Google CTF 2022
-
[Study] Google CTF 2022 LOG4J WriteupCTF/Google CTF 2022 2022. 7. 15. 19:42
이번 구글 CTF는 참가하지 못했다. 대회 종료 후 리뷰해보았다. 제공되는 URL(https://log4j-web.2022.ctfcompetition.com/) 에 접근해보면 아래와 같은 페이지가 나타난다. 주어진 파일을 분석해보자. 우선 pom.xml 파일에서 사용중인 log4j의 버전을 확인 할 수 있다. 2.17.2 버전을 사용하는 것으로 보아 얼마전에 떠들썩했던 JNDI 등을 활용한 log4jshell 이라고도 불렸던 취약점을 이용 하는 것은 아닌듯 하다. 프론트엔드 소스코드를 분석해보자. import os import subprocess from flask import Flask, render_template, request app = Flask(__name__) @app.route("/", m..