NewStarCTF2025 Week 1 Web 题目解析

NewStarCTF2025 Week 1 Web 竞赛包含六个题目，涉及多种 Web 安全漏洞与绕过技巧。包括通过 robots.txt 发现隐藏页面并获取响应头 Flag；利用万能密码进行 SQL 注入登录；使用十六进制绕过 intval 函数限制；通过控制台修改变量值通关游戏逻辑题；执行 JavaScript 代码解除前端限制并爆破密码及计算表达式；以及通过抓包修改请求方法、参数位置、Cookie 及 User-Agent 头完成多关卡挑战。

二进制发布于 2026/4/5更新于 2026/4/131 浏览

1、multi-headach3

结合题目暗示，存在 robots.txt。文章配图访问 hidden.php 但是发现被重定向到了 index.php。看一下详细的包： Flag 在响应头。

2、strange_login

考察 SQL 注入的万能密码。 Payload：用户名：1'or 1# 密码可以随便输文章配图登录成功即可看到 flag

3、宇宙的中心是 php

右键、F12、ctrl+U 这些都被禁用。通过开发人员工具打开。文章配图看到注释：访问 s3kret.php。 Intval 特性的绕过。该函数的原型： int intval ( mixed $var [, int $base = 10 ] ) 如果 base 是 0，通过检测 var 的格式来决定使用的进制。方法很多，这里采用十六进制绕过。 Payload：newstar2025=0x2f

4、别笑，你也过不了第二关

相关免费在线工具

加密/解密文本
使用加密算法（如AES、TripleDES、Rabbit或RC4）加密和解密文本明文。在线工具，加密/解密文本在线工具，online
Base64 字符串编码/解码
将字符串编码和解码为其 Base64 格式表示形式即可。在线工具，Base64 字符串编码/解码在线工具，online
Base64 文件转换器
将字符串、文件或图像转换为其 Base64 表示形式。在线工具，Base64 文件转换器在线工具，online
Markdown 转 HTML
将 Markdown（GFM）转为 HTML 片段，浏览器内 marked 解析；与 HTML 转 Markdown 互为补充。在线工具，Markdown 转 HTML在线工具，online
HTML 转 Markdown
将 HTML 片段转为 GitHub Flavored Markdown，支持标题、列表、链接、代码块与表格等；浏览器内处理，可链接预填。在线工具，HTML 转 Markdown在线工具，online
JSON 压缩
通过删除不必要的空白来缩小和压缩JSON。在线工具，JSON 压缩在线工具，online

javascript:(()=>{try{document.getElementById('shieldOverlay')?.remove();document.getElementById('accessButton')?.classList.add('active');document.getElementById('accessButton').disabled=false;const f=document.getElementById('nextLevelForm');if(f){fetch(f.action||'/next-level.php',{method:'POST',headers:{'Content-Type':'application/x-www-form-urlencoded'},body:new URLSearchParams(Object.fromEntries(Array.from(f.querySelectorAll('input')).map(i=>[i.name,i.value]))).toString()}).then(r=>r.text()).then(t=>alert('server returned:\\n'+t)).catch(e=>alert('fetch failed: '+e))}else alert('no form found')}catch(e){alert('error: '+e)}})();