TGCTF Web题目全解教学文档

TGCTF Web题目全解教学文档 1. TG_ wordpress 解题步骤 信息收集 ： 访问 robots.txt 文件，发现 vuln 路径 使用 ret2syscall 技术获取账号密码 后台利用： 登录WordPress后台 查看插件列表并搜索已知漏洞 或尝试盲猜漏洞（题目提示一次猜中很幸运） 关键点 robots.txt 是常见的信息泄露点 WordPress插件漏洞是常见攻击面 ret2syscall 是ROP攻击的一种形式 2. 偷渡阴平 解题步骤 信息收集 ： 扫描 robots.txt 发现 tginclude.php 文件读取 ： 使用PHP伪协议读取 tgxff.php 文件 发现是Smarty框架 漏洞利用 ： 进行Smarty模板注入 注入点在HTTP Header中 关键点 PHP伪协议( php://filter )可用于文件读取 Smarty模板注入漏洞 注意非标准注入点(Header) 3. 火眼辩魑魑魅 解题步骤 前端漏洞 ： 发现使用Vite构建 利用CVE-2025-30208漏洞 读取环境变量获取flag 关键点 关注构建工具的安全问题 最新CVE漏洞利用 环境变量可能包含敏感信息 4. ezupload 解题步骤 信息收集 ： 扫描发现 upload.php.bak 备份文件 文件上传利用 ： 上传 .user.ini 文件 上传 a.jpg 文件 发送两次请求获取flag 关键点 备份文件泄露( .bak ) .user.ini 文件可修改PHP配置 可能需要多次请求触发漏洞 5. 直面天命 解题步骤 路由爆破 ： 根据提示爆破 aazz 路由 参数爆破 ： 爆破参数获取flag 关键点 路由枚举技术 参数爆破技术 需要根据提示缩小爆破范围 6. 什么文件上传 解题步骤 信息收集 ： 访问 robots.txt 发现 class.php 漏洞利用 ： 使用参数 wow=cat /* 读取文件 题目提示"熟悉的配方,熟悉的味道"指内存马 关键点 简单的文件读取漏洞 内存马技术 参数直接执行系统命令 7. 什么文件上传?(复仇) 解题步骤 PHAR反序列化 ： 生成恶意PHAR文件 使用爆出的后缀名上传 利用 file_exists 触发PHAR反序列化 关键点 PHAR文件反序列化漏洞 需要获取合法后缀名 file_exists 函数触发点 8. 后台管理 解题步骤 SQL注入 ： 使用 \ 注释单引号 绕过限制执行任意SQL 由于长度限制短，需要猜测获取flag 关键点 特殊字符( \ )注入技术 短payload构造 盲注技术 9. AAA偷渡阴平(复仇) 解题步骤 漏洞利用 ： 发现session未开启 无过滤措施 直接利用漏洞获取flag 关键点 session配置问题 缺乏输入过滤 直接攻击面 10. 直面天命复仇 解题步骤 SSTI注入 ： 简单的SSTI(服务器端模板注入) 使用 fenjing 工具自动化利用 需要删除 black_list 中的 {} 限制 关键点 SSTI漏洞利用 自动化工具使用 黑名单绕过技术 11. Go语言题目 解题步骤 代码审计 ： 注意Go语言中 = 和 := 的区别 safe 变量定义在 main 函数中 条件竞争 ： read 操作存在竞态条件 利用时间窗口绕过安全限制 关键点 Go语言特性( = vs := ) 变量作用域问题 竞态条件漏洞 通用技巧总结 信息收集 ： 总是检查 robots.txt 查找备份文件( .bak , .swp 等) 扫描隐藏路径和文件 漏洞利用 ： 框架特定漏洞(Smarty, WordPress等) 最新CVE利用 非常规注入点(Header, 文件名等) 工具使用 ： 路由/参数爆破工具 自动化漏洞利用工具( fenjing 等) PHAR生成工具 代码审计 ： 注意语言特性 变量作用域问题 竞态条件检查 绕过技巧 ： 黑名单绕过 长度限制绕过 非常规触发方式