Midnight-Sun-CTF-2025-WEB 漏洞分析与利用教学<\/h1>

1. Hackchan 漏洞分析<\/h2>

1.1 Flag 获取条件<\/h3>
在 `views.py<\/code> 文件中发现获取 flag 的条件是：当前用户的 balance<\/code> 必须大于 999,999,999。<\/p>`

1.2 漏洞利用流程<\/h3>


Bot 处理流程分析<\/strong>：<\/p>

在 bot.js<\/code> 中处理 problem 中的 URL<\/li>
可以构造路由让 admin 访问特定页面<\/li>
<\/ul>
<\/li>

Balance 相关函数<\/strong>：<\/p>

系统使用了 TF-IDF 算法将 question 转换为数值向量<\/li>
重点关注 fac<\/code> 处理部分<\/li>
<\/ul>
<\/li>

SWP 文件利用<\/strong>：<\/p>

题目故意留了 .swp<\/code> 文件（vim 交换文件）<\/li>
通过匹配 media<\/code> 标签可以渲染 .swap<\/code> 文件内容<\/li>
构造 payload 触发 XSS：
https:\/\/hackchan-mjk2mpay.ctf.pro\/?action=faq&question=How can I get in touch with your PR department for collaboration?<script>alert('hacked by dt')<\/script>
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>

转账逻辑漏洞<\/strong>：<\/p>

系统转账限制：每次最多只能转 10 块钱<\/li>
关键代码：confirmed_transactions = Transaction.query.filter(Transaction.status == 'confirmed').all()<\/code><\/li>
利用 Race Condition：在 confirm_transaction<\/code> 之后间隙将订单 status 改为 confirmed<\/code><\/li>
<\/ul>
<\/li>

最终 Payload<\/strong>：<\/p>

<\/span><\/span><\/code><\/pre>
注意编码问题<\/li>
<\/ul>
<\/li>
<\/ol>
2. Uselesscorp 漏洞分析<\/h2>
2.1 初始发现<\/h3>

扫描目录发现 class.phpmailer.php<\/code><\/li>
通过文件日期确定版本为 v5.2.17<\/li>
尝试利用 CVE-2016-10033 但失败<\/li>
<\/ul>
2.2 Exim4 MTA 漏洞利用<\/h3>

Debian 系统使用 exim4 作为 MTA<\/li>
关键字符串扩展功能：

${readfile{}{}}<\/code>：读取文件并替换换行符<\/li>
${readsocket{...}{...}{...}{...}{...}}<\/code>：向 socket 发送请求并读取响应<\/li>
{run,preexpand{option}}<\/code>：运行外部命令并获取输出<\/li>
<\/ul>
<\/li>
<\/ul>
2.3 构造 sendmail 请求<\/h3>

遵循 RFC 3696 邮件格式<\/li>
使用 -Ov<\/code> 参数使后续语句无效<\/li>
简短格式示例：@d<\/code><\/li>
<\/ul>
2.4 最终 Exploit<\/h3>

官方 payload 思路类似，但直接读取文件而非弹 shell<\/li>
<\/ul>
3. 漏洞利用总结<\/h2>
3.1 Hackchan 关键点<\/h3>

通过 .swp<\/code> 文件触发 XSS<\/li>
利用 Race Condition 绕过转账限制<\/li>
构造恶意请求让 bot 执行高额转账<\/li>
<\/ol>
3.2 Uselesscorp 关键点<\/h3>

识别 exim4 MTA 的存在<\/li>
利用字符串扩展功能执行命令<\/li>
构造特殊的邮件格式绕过限制<\/li>
<\/ol>
4. 防御建议<\/h2>
4.1 针对 Hackchan<\/h3>

严格过滤用户输入，防止 XSS<\/li>
实现事务处理的原子性，防止 Race Condition<\/li>
对转账操作添加更严格的验证<\/li>
<\/ul>
4.2 针对 Uselesscorp<\/h3>

及时更新 PHPMailer 版本<\/li>
限制 exim4 的字符串扩展功能<\/li>
对邮件输入进行严格验证<\/li>
<\/ul>
5. 参考资源<\/h2>

PHPMailer CVE-2016-10033: https:\/\/github.com\/PHPMailer\/PHPMailer\/blob\/v5.2.17\/class.phpmailer.php<\/li>
Exim4 文档: https:\/\/www.exim.org\/exim-html-current\/doc\/html\/spec_html\/ch-string_expansions.html<\/li>
RFC 3696 邮件格式规范<\/li>
<\/ul>

Midnight-Sun-CTF-2025-WEB 漏洞分析与利用教学<\/h1>

1. Hackchan 漏洞分析<\/h2>

1.1 Flag 获取条件<\/h3> 在 views.py<\/code> 文件中发现获取 flag 的条件是：当前用户的 balance<\/code> 必须大于 999,999,999。<\/p>

2. Uselesscorp 漏洞分析<\/h2>

3. 漏洞利用总结<\/h2>

4. 防御建议<\/h2>

5. 参考资源<\/h2> PHPMailer CVE-2016-10033: https:\/\/github.com\/PHPMailer\/PHPMailer\/blob\/v5.2.17\/class.phpmailer.php<\/li> Exim4 文档: https:\/\/www.exim.org\/exim-html-current\/doc\/html\/spec_html\/ch-string_expansions.html<\/li> RFC 3696 邮件格式规范<\/li> <\/ul>

1.1 Flag 获取条件<\/h3>
在 `views.py<\/code> 文件中发现获取 flag 的条件是：当前用户的 balance<\/code> 必须大于 999,999,999。<\/p>`

5. 参考资源<\/h2>

PHPMailer CVE-2016-10033: https:\/\/github.com\/PHPMailer\/PHPMailer\/blob\/v5.2.17\/class.phpmailer.php<\/li>
Exim4 文档: https:\/\/www.exim.org\/exim-html-current\/doc\/html\/spec_html\/ch-string_expansions.html<\/li>
RFC 3696 邮件格式规范<\/li> <\/ul>