XYCTF Web题目个人解题思路详解<\/h1>

ez_puzzle 题目解析<\/h2>

解题步骤：<\/strong><\/p>

分析游戏机制，发现通关后会弹出alert窗口<\/li>
搜索源码中的alert代码，发现存在两个alert<\/li>
通过测试确认第一个alert是成功flag，第二个是失败提示<\/li>
下载源码并修改alert判断条件（将小于号改为大于号）<\/li>
重新通关游戏获取flag<\/li> <\/ol>
关键点：<\/strong><\/p>

通过源码分析确定关键alert位置<\/li>
修改判断条件绕过游戏逻辑<\/li> <\/ul>
ezsql SQL注入题目<\/h2>
漏洞发现：<\/strong><\/p>

在登录处存在SQL注入漏洞<\/li>
过滤了空格和逗号等关键字符<\/li> <\/ul>
绕过技术：<\/strong><\/p>

使用括号代替空格：(select(1))<\/code><\/li>
盲注技术替代逗号限制<\/li>
构造时间盲注payload：当条件成立时会延时1秒<\/code><\/li> <\/ol> 获取凭证：<\/strong><\/p> 通过脚本爆破获取： double_check值：dtfrtkcc0czkoua9S<\/code><\/li> 账号：yudeyoushang<\/code><\/li> 密码：zhonghengyisheng<\/code><\/li> <\/ul> <\/li> <\/ol> 后续利用：<\/strong><\/p> 登录后存在无回显命令执行<\/li> 绕过过滤：使用$IFS$9<\/code>代替空格<\/li> 使用反斜杠绕过关键词过滤<\/li> 直接写入webshell<\/li> <\/ul> <\/li> <\/ul> Signin 反序列化漏洞<\/h2> 漏洞分析：<\/strong><\/p> 使用pickle.loads<\/code>进行反序列化<\/li> ser_cookie<\/code>使用pickle.dumps<\/code>序列化<\/li> <\/ul> 利用步骤：<\/strong><\/p> 通过\/download<\/code>路径实现目录穿越读取key 使用路径：.\/..\/.\/..\/<\/code><\/li> <\/ul> <\/li> 获取key后构造恶意pickle序列化数据<\/li> 生成恶意cookie实现RCE<\/li> 打入内存马<\/li> <\/ol> Now you see me 1 (SSTI)<\/h2> 漏洞利用：<\/strong><\/p> 使用#}{#<\/code>闭合{##}<\/code><\/li> 使用{%%}<\/code>绕过{{}}<\/code><\/li> 利用未被过滤的request类<\/li> <\/ol> 绕过技术：<\/strong><\/p> 使用5个可控的请求头绕过限制<\/li> 使用传统SSTI继承链绕过os.system<\/code>过滤： ''<\/span>.<\/span>__class__.<\/span>__base__.<\/span>__subclasses__()[137<\/span>].<\/span>__init__.<\/span>__globals__['popen'<\/span>]("dd if=\/flag_h3r3 bs=1 skip=10000000 count=20000000 2>\/dev\/null|base64"<\/span>).<\/span>read() <\/span><\/span><\/code><\/pre><\/li> <\/ul> Now you see me 2 (进阶SSTI)<\/h2> 新增限制：<\/strong><\/p> 禁用了更多request类下的属性<\/li> <\/ul> 绕过方法：<\/strong><\/p> 利用未被过滤的range<\/code>功能<\/li> 通过Range<\/code>头配合jinja2的String和random过滤器获取单个字符<\/li> 使用config<\/code>作为中间变量存储获取的字符赋值语句：{%set%0Aa=config%}<\/code>（用换行符代替空格）<\/li> <\/ul> <\/li> 逐步构建request.args<\/code>访问路径<\/li> <\/ol> 回显方法：<\/strong><\/p> 由于无回显且路由检测严格，使用请求头回显数据<\/li> <\/ul> 出题人已疯 (长度受限SSTI)<\/h2> 限制条件：<\/strong><\/p> SSTI但限制了长度<\/li> 禁用了open等关键函数<\/li> <\/ul> 解决方案：<\/strong><\/p> 尝试使用rebase<\/code>或include<\/code>模板函数进行文件读取（受限）<\/li> 利用__builtins__<\/code>进行变量赋值（Bottle框架特性）赋值示例：{% __builtins__.__dict__.__setitem__('xy',1) %}<\/code><\/li> <\/ul> <\/li> 通过分段赋值构造open函数：逐步构建open功能<\/li> 也可以构造完整RCE链<\/li> <\/ul> <\/li> <\/ol> 关键点：<\/strong><\/p> Bottle框架模板环境直接关联__builtins__<\/code><\/li> 通过分段赋值绕过长度限制<\/li> <\/ul> 总结<\/h2> 这些题目涵盖了多种Web安全技术：<\/p> 前端游戏逻辑绕过<\/li> SQL注入与过滤绕过<\/li> 反序列化漏洞利用<\/li> SSTI模板注入及各种绕过技术<\/li> 受限环境下的代码执行<\/li> <\/ol> 每种技术都展示了不同的绕过思路和利用方法，对于理解Web安全漏洞的本质和防御方法有很好的参考价值。<\/p>