PCTF2025 Web 赛题实战复盘：整数溢出、JWT 伪造与 SSTI

We_will_rockyou

下载源码后进行分析，这是一个基于 Flask 的服务器面板应用。

认证与初始化

应用使用 JWT 维持会话，密钥 SECRET_KEY 每次重启随机生成。用户信息存储在内存字典中，重启即清空。关键逻辑在于启动时的密码覆盖机制：

# 默认随机生成 UUID 密码
admin_password = str(uuid.uuid4())
# 密码覆盖机制：尝试从系统文件读取密码
for path in ['/password', './password.txt']:
    try:
        if os.path.exists(path) and os.path.isfile(path):
            with open(path, 'rb') as f:
                raw = f.read()
                text = raw.decode('utf-8', errors='replace').strip()
                candidates = [line.strip() for line in text.splitlines() if line.strip()]
                if candidates:
                    import secrets
                    admin_password = secrets.choice(candidates)
                    break
    except: pass

这意味着如果能控制 /password 或 ./password.txt，就能预设管理员密码。题目提示使用 rockyou.txt 爆破，用户名固定为 admin123。

命令执行漏洞

路由 /dashboard/run 允许执行命令，但有限制白名单：

SAFE_COMMANDS = ['ls', 'pwd', 'whoami', 'dir', 'more']
@app.route('/dashboard/run', methods=['POST'])
@login_required
def run_command(user_id, username):
    cmd = request.form.get('command', '').strip()
    # 检查机制：只判断命令行的第一个单词是否在白名单内
    if not cmd or cmd.split()[0] not in SAFE_COMMANDS:
        return render_template('dashboard.html', error_msg="Error: Command not allowed")
    try:
        # 风险点：shell=True。虽然开头是 ls，但可以利用 shell 拼接符
        result = subprocess.run(cmd, shell=True, capture_output=True, text=True, timeout=5)
        output = result.stdout + result.stderr
        return render_template('dashboard.html', output=output, command=cmd)
    except Exception as e:
        return render_template('dashboard.html', error_msg=f"Error: {str(e)}")

尽管有白名单检查，但由于使用了 shell=True，可以通过拼接符绕过。例如输入 ls ; cat /etc/passwd，白名单只看到 ls，但 Shell 会执行后续命令。

barbie

获取权限后，执行 ls / 查看目录结构，确认环境信息。

Jwt_password_manager

此题核心在于硬编码的 JWT 密钥和 Flag 存储方式。

代码审计

app.config['SECRET_KEY'] = '0f3cbb44-f199-4d34-ade9-1545c0972648'

密钥泄露是致命伤。此外，程序启动时会读取 flag.txt 并将其作为一条密码项存入 admin 账号中：

# flag in admin account ! ^-^ 
for path in ['/flag', './flag.txt']:
    try:
        if os.path.exists(path) and os.path.isfile(path):
            with open(path, 'rb') as f:
                raw = f.read()
                if raw:
                    content = raw.decode('utf-8', errors='replace').strip()
                    add_password_item('admin', website='seeded-flag', site_username='flag-file', password=content)
                    break
    except: pass

利用思路

1. 注册普通账号，获取合法 Token。
2. 使用 jwt.io 解密 Token，将 payload 中的 username 修改为 admin。
3. 使用泄露的 SECRET_KEY 重新签名。
4. 替换 Cookie 中的 Token，访问后台即可看到存储 Flag 的密码项。

伪造后的 Token 示例： eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6ImIzMGEwYzNhLTI5Y2YtNGQ0ZS04ZDJiLTcxZGIxOWJlYjc2MiIsInVzZXJuYW1lIjoiYWRtaW4ifQ.PMpPt65DM7rU-z3gljV1f8z5h_DIXSmoDQnMu2vKgQo

保存密码项后即可获取 Flag。

ez_upload

文件上传功能看似限制了类型，但实际存在模板注入风险。

漏洞分析

上传接口校验了扩展名，但查看文件查看逻辑时发现问题：

@app.route('/file')
def view_file():
    file_path = request.args.get('file', '')
    # ... 黑名单过滤 ...
    try:
        with open(file_path, 'r', encoding='utf-8') as f:
            file_content = f.read()
        # 高危点：render_template_string 渲染用户上传的内容
        return render_template_string(template, file_path=file_path, file_content=file_content)
    except Exception as e:
        # ... 错误处理 ...

render_template_string 会将 file_content 当作 Jinja2 模板渲染。如果上传包含 {{ 7*7 }} 的文件并查看，Flask 会执行其中的模板代码，实现 SSTI。

利用步骤

1. 上传包含 SSTI Payload 的 HTML 文件（如 {{ config }}）。
2. 通过 ?file= 参数访问该文件。
3. 利用 SSTI 读取 config 变量获取 SECRET_KEY。
4. 进一步读取 templates/index.html 等敏感文件。

成功读取敏感信息。

Do_you_know_session?

本题考察 Session 伪造与 SSTI 结合。

搜索框 SSTI

在搜索框 /search?context= 中发现 SSTI 漏洞。虽然有 WAF 过滤，但可以直接访问 config 对象。

Payload 示例： /search?context={{ config }}

返回的 Secret Key 为： 1919810#mistyovo@foxdog@lzz0403#114514

Session 伪造

获取 Secret Key 后，使用 Flask Session Cookie Manager 工具伪造管理员 Session。

最终通过读取 environ 环境变量获取 Flag。