NewStarCTF2025 Week 1 Web 解题报告

NewStarCTF2025 Week 1 Web 挑战包含六个题目。涉及 robots.txt 隐藏文件访问、SQL 注入万能密码、PHP intval 进制绕过、前端控制台修改变量、JavaScript 代码执行与表单提交、HTTP 请求方法与 Header 伪造。通过抓包、源码审计及浏览器开发者工具完成解题。

战神发布于 2026/4/5更新于 2026/4/131 浏览

1. multi-headach3

结合题目暗示，存在 robots.txt。

图片：robots.txt

访问 hidden.php 但是发现被重定向到了 index.php。

图片：重定向

查看详细的包：

Flag 在响应头。

图片：响应头

2. strange_login

考察 SQL 注入的万能密码。

Payload：

用户名：1'or 1#

密码可以随便输。

图片：登录成功

登录成功即可看到 flag。

图片：flag

3. 宇宙的中心是 php

右键、F12、ctrl+U 这些都被禁用。通过开发人员工具打开。

图片：开发者工具

看到注释：

访问 s3kret.php。

intval() 特性绕过 该函数的原型：

int intval ( mixed $var [, int  =  ] )

相关免费在线工具

加密/解密文本
使用加密算法（如AES、TripleDES、Rabbit或RC4）加密和解密文本明文。在线工具，加密/解密文本在线工具，online
Base64 字符串编码/解码
将字符串编码和解码为其 Base64 格式表示形式即可。在线工具，Base64 字符串编码/解码在线工具，online
Base64 文件转换器
将字符串、文件或图像转换为其 Base64 表示形式。在线工具，Base64 文件转换器在线工具，online
Markdown 转 HTML
将 Markdown（GFM）转为 HTML 片段，浏览器内 marked 解析；与 HTML 转 Markdown 互为补充。在线工具，Markdown 转 HTML在线工具，online
HTML 转 Markdown
将 HTML 片段转为 GitHub Flavored Markdown，支持标题、列表、链接、代码块与表格等；浏览器内处理，可链接预填。在线工具，HTML 转 Markdown在线工具，online
JSON 压缩
通过删除不必要的空白来缩小和压缩JSON。在线工具，JSON 压缩在线工具，online

score = 1000000;
currentLevel = 1 //因为一共就两关，currentLevel 从 0 开始的
endLevel();

javascript:(()=>{try{document.getElementById('shieldOverlay')?.remove();document.getElementById('accessButton')?.classList.add('active');document.getElementById('accessButton').disabled=false;const f=document.getElementById('nextLevelForm');if(f){fetch(f.action||'/next-level.php',{method:'POST',headers:{'Content-Type':'application/x-www-form-urlencoded'},body:new URLSearchParams(Object.fromEntries(Array.from(f.querySelectorAll('input')).map(i=>[i.name,i.value]))).toString()}).then(r=>r.text()).then(t=>alert('server returned:\\n'+t)).catch(e=>alert('fetch failed: '+e))}else alert('no form found')}catch(e){alert('error: '+e)}})();