TRX CTF 2025 WEB题目解析与利用技术教学<\/h1>

1. Online Python Editor题目解析<\/h2>

1.1 题目概述<\/h3>
这是一个基于Python语法检查的Web应用，用户在前端输入Python代码，后端使用`ast.parse<\/code>进行语法分析，错误时调用traceback.format_exc()<\/code>输出错误信息。<\/p>`

1.2 关键文件分析<\/h3>

app.py<\/code>: 主应用逻辑<\/li>
secret.py<\/code>: 包含flag的文件<\/li>
index.html<\/code>: 前端页面<\/li>
<\/ul>
1.3 漏洞原理<\/h3>

后端使用ast.parse<\/code>解析用户输入的Python代码<\/li>
当代码有语法错误时，会调用traceback.format_exc()<\/code>显示错误<\/li>
关键点：traceback.format_exc()<\/code>会显示错误发生的文件名和行号内容<\/li>
secret.py<\/code>中的flag位于第6行<\/li>
<\/ol>
1.4 利用方法<\/h3>
构造一个特殊的输入，使：<\/p>

错误发生在secret.py<\/code>的第6行<\/li>
通过错误信息泄露flag<\/li>
<\/ul>
具体payload<\/strong>:<\/p>
\n\n\n\n\n:
<\/code><\/pre>
解释：<\/p>

5个换行符(\n<\/code>)使错误定位到第6行<\/li>
:<\/code>是一个无效语法，触发语法错误<\/li>
<\/ul>
1.5 防御建议<\/h3>

限制错误信息输出，不显示文件内容<\/li>
对用户输入进行更严格的过滤<\/li>
使用自定义错误处理而非traceback.format_exc()<\/code><\/li>
<\/ul>
2. Baby Sandbox题目解析<\/h2>
2.1 题目概述<\/h3>
一个使用Shadow DOM技术隐藏flag的Web应用，需要通过XSS等技术绕过限制获取flag。<\/p>
2.2 关键技术点<\/h3>

Shadow DOM<\/strong>: 将flag封装在隔离的DOM中，常规DOM操作无法访问
shadow<\/span>.appendChild<\/span>(flagElement<\/span>);
<\/span><\/span><\/code><\/pre><\/li>
CSP策略<\/strong>:

script-src: unsafe-inline<\/code> - 允许内联JavaScript<\/li>
default-src: none<\/code> - 阻止加载外部资源<\/li>
<\/ul>
<\/li>
Sandbox限制<\/strong>:

限制了弹出新窗口<\/li>
<\/ul>
<\/li>
<\/ol>
2.3 漏洞利用<\/h3>


Shadow DOM突破<\/strong>:<\/p>

使用window.find()<\/code>方法可以搜索Shadow DOM中的内容<\/li>
参考: Shadow DOM攻击技术<\/a><\/li>
<\/ul>
<\/li>

CSP绕过<\/strong>:<\/p>

利用unsafe-inline<\/code>执行内联脚本<\/li>
通过top.document.body<\/code>写入内容<\/li>
<\/ul>
<\/li>

Sandbox绕过<\/strong>:<\/p>

参考: iframe和window.open绕过技术<\/a><\/li>
<\/ul>
<\/li>
<\/ol>
2.4 完整利用流程<\/h3>

构造XSS payload<\/li>
使用window.find()<\/code>定位flag<\/li>
通过top.document.body<\/code>将flag外带<\/li>
注意payload需要进行hex编码<\/li>
<\/ol>
3. zStego题目解析<\/h2>
3.1 题目概述<\/h3>
一个文件上传和扫描功能，需要伪造特定文件结构来读取flag。<\/p>
3.2 漏洞原理<\/h3>

应用使用file_get_content<\/code>读取上传文件<\/li>
可以构造特殊文件结构欺骗系统<\/li>
通过软链接使系统读取非预期文件<\/li>
<\/ol>
3.3 利用方法<\/h3>

伪造一个docx文件<\/li>
在文件中设置软链接，使media指向根目录<\/li>
系统会读取并解码flag.txt<\/li>
通过文件内容获取flag<\/li>
<\/ol>
3.4 防御建议<\/h3>

验证上传文件的真实结构<\/li>
限制文件读取范围<\/li>
禁用符号链接功能<\/li>
<\/ul>
4. 总结与学习要点<\/h2>
4.1 关键学习点<\/h3>


错误处理信息泄露<\/strong>:<\/p>

了解traceback.format_exc()<\/code>的安全风险<\/li>
掌握通过语法错误定位特定文件行的技术<\/li>
<\/ul>
<\/li>

Shadow DOM安全<\/strong>:<\/p>

理解Shadow DOM的隔离机制<\/li>
掌握突破Shadow DOM的技术<\/li>
了解window.find()<\/code>的特殊用途<\/li>
<\/ul>
<\/li>

CSP与Sandbox绕过<\/strong>:<\/p>

理解各种CSP指令的安全含义<\/li>
掌握在严格限制下的代码执行技术<\/li>
了解iframe沙箱绕过方法<\/li>
<\/ul>
<\/li>

文件结构欺骗<\/strong>:<\/p>

理解文件格式解析的潜在风险<\/li>
掌握构造特殊文件结构的技术<\/li>
了解符号链接在攻击中的应用<\/li>
<\/ul>
<\/li>
<\/ol>
4.2 进阶研究方向<\/h3>

Python AST解析的更多安全问题<\/li>
Web Components安全模型深入研究<\/li>
复杂CSP策略的绕过技术<\/li>
文件格式解析漏洞的挖掘方法<\/li>
<\/ol>
通过这三个题目的分析，我们学习了多种Web安全技术和绕过方法，这些知识对于现代Web应用安全测试具有重要意义。<\/p>

TRX CTF 2025 WEB题目解析与利用技术教学<\/h1>

1. Online Python Editor题目解析<\/h2>

1.1 题目概述<\/h3> 这是一个基于Python语法检查的Web应用，用户在前端输入Python代码，后端使用ast.parse<\/code>进行语法分析，错误时调用traceback.format_exc()<\/code>输出错误信息。<\/p>

2. Baby Sandbox题目解析<\/h2>

2.1 题目概述<\/h3> 一个使用Shadow DOM技术隐藏flag的Web应用，需要通过XSS等技术绕过限制获取flag。<\/p>

3. zStego题目解析<\/h2>

3.1 题目概述<\/h3> 一个文件上传和扫描功能，需要伪造特定文件结构来读取flag。<\/p>

4. 总结与学习要点<\/h2>

1.1 题目概述<\/h3>
这是一个基于Python语法检查的Web应用，用户在前端输入Python代码，后端使用`ast.parse<\/code>进行语法分析，错误时调用traceback.format_exc()<\/code>输出错误信息。<\/p>`

2.1 题目概述<\/h3>
一个使用Shadow DOM技术隐藏flag的Web应用，需要通过XSS等技术绕过限制获取flag。<\/p>

3.1 题目概述<\/h3>
一个文件上传和扫描功能，需要伪造特定文件结构来读取flag。<\/p>