SwampCTF 2025 比赛Writeup解析与教学文档<\/h1>

Web安全挑战解析<\/h2>

Web1: Serialies (\/api\/person)<\/h3>

漏洞类型<\/strong>: 反序列化漏洞<\/li>
解题思路<\/strong>:

检查\/api\/person接口的反序列化功能<\/li>
尝试构造恶意序列化数据<\/li>
利用反序列化漏洞执行任意代码或读取敏感信息<\/li> <\/ol> <\/li> <\/ul>
Web2: Hidden Message-Board<\/h3>

漏洞类型<\/strong>: 隐藏功能发现<\/li>
解题思路<\/strong>:

全面扫描网站目录和文件<\/li>
检查源代码中的注释和隐藏链接<\/li>
尝试发现未公开的消息板功能<\/li> <\/ol> <\/li> <\/ul>
Web3: Beginner Web<\/h3>

解题步骤<\/strong>:

F12开发者工具直接查看flag1<\/li>
审计JavaScript代码发现flag2和flag3的加密逻辑<\/li>
使用CryptoJS库解密flag<\/li>
在浏览器控制台执行解密代码获取完整flag<\/li> <\/ol> <\/li> <\/ul>
Web4: SlowAPI<\/h3>

漏洞类型<\/strong>: 慢速攻击\/中间件漏洞<\/li>
关键点<\/strong>:

研究Next.js中间件漏洞<\/li>
利用慢速请求导致服务端资源耗尽<\/li>
参考链接: https:\/\/zhero-web-sec.github.io\/research-and-things\/nextjs-and-the-corrupt-middleware<\/li> <\/ul> <\/li> <\/ul>
Web5: Sunset Boulevard<\/h3>

解题思路<\/strong>:

发现admin路由的登录功能<\/li>
题目提示"fan latters"有用<\/li>
构造XSS攻击获取管理员cookie<\/li>
利用获取的cookie访问管理员功能<\/li> <\/ol> <\/li> <\/ul>
Web6: Contamination<\/h3>

漏洞类型<\/strong>: 请求走私<\/li>
关键技术<\/strong>:

构造特殊JSON字符串{"a": "é"}<\/code><\/li>
利用ISO-8859-1和UTF-8编码差异<\/li>
只有特定路由和参数会被转发到后端\/api路由<\/li> <\/ul> <\/li> <\/ul> Web7: Editor<\/h3> 安全限制<\/strong>: <script><\/code>标签被直接移除<\/li> on*<\/code>事件处理器被正则表达式移除<\/li> CSS注入仅允许替换<style class="custom-user-css"><\/code>内容<\/li> <\/ul> <\/li> 绕过方法<\/strong>: 使用iframe<\/code>标签直接加载flag.txt<\/li> <\/ul> <\/li> <\/ul> Web8: SwampTech Solutions<\/h3> 攻击链<\/strong>: 以guest身份登录，发现cookie是guest的MD5值<\/li> 伪造admin的MD5值获取管理员权限<\/li> 访问adminpage.php发现隐藏接口<\/li> 利用XXE漏洞读取系统文件<\/li> <\/ol> <\/li> <\/ul> Web9: MaybeHappyEndingGPT<\/h3> 漏洞利用<\/strong>: 尝试让AI返回构成RCE的字符串<\/li> 发现系统限制<\/li> 在请求包中删除system身份的限制<\/li> 构造有效载荷实现远程代码执行<\/li> <\/ol> <\/li> <\/ul> 杂项(Misc)挑战<\/h2> 0x01-Join our Discord!<\/h3> 简单flag<\/strong>: swampCTF{w3lc0m3_t0_th3_swamp}<\/li> <\/ul> 0x02-Pretty Picture: Double Exposure<\/h3> 解题方法<\/strong>: 使用图片叠加技术<\/li> 参考工具: https:\/\/samdeleon.github.io\/UnhidingImages.html<\/li> <\/ul> <\/li> flag<\/strong>: swampCTF{m3ss4g3s_0r_c0d3_c4n_b3_h1dd3n_1n_1m4g3s}<\/li> <\/ul> 0x06-Blue goblob<\/h3> 解题步骤<\/strong>: 枚举blob存储<\/li> 利用匿名访问权限<\/li> 直接读取flag文件<\/li> <\/ol> <\/li> <\/ul> 0x03-Read Between .tga Lines<\/h3> 新型题目类型<\/strong>: 两张图片横向截取混淆<\/li> 需要分离和重组图像数据<\/li> <\/ul> <\/li> <\/ul> 0x04-Lost In Translation<\/h3> 解题工具<\/strong>: 使用Whitespace语言分析工具: https:\/\/naokikp.github.io\/wsi\/whitespace.html<\/li> 运行环境: NodeJS 18.17.1+<\/li> <\/ul> <\/li> <\/ul> 0x05-Messages From The Stars<\/h3> 音频分析<\/strong>: 检查音频左右通道差异<\/li> 提取隐藏数据<\/li> 解码获取flag<\/li> <\/ol> <\/li> <\/ul> 开源情报(OSInt)挑战<\/h2> 0x01-Party Time!<\/h3> 解题方法<\/strong>: 使用在线EXIF查看器: https:\/\/www.strerr.com\/cn\/exif.html<\/li> 提取图片地理位置信息<\/li> <\/ol> <\/li> flag<\/strong>: swampCTF{29.65,82.33}<\/li> <\/ul> 0x03-Party Time! Level 2<\/h3> 关键发现<\/strong>: 检查图片评论区域<\/li> <\/ul> <\/li> flag<\/strong>: swampCTF{Checkers_Yum}<\/li> <\/ul> 0x02-On Thin ICE<\/h3> 解题步骤<\/strong>: 转换数据得到hex值<\/li> 拆分翻译得到"第八步自由"<\/li> 识别为《使命召唤7》中的台词<\/li> 定位到沃尔库塔的前苏联监狱<\/li> 在Google地图查找当地溜冰场<\/li> <\/ol> <\/li> <\/ul> 取证(Forensics)挑战<\/h2> 0x01-Homework Help<\/h3> 解题方法<\/strong>: 扫描磁盘恢复已删除文件<\/li> <\/ul> <\/li> flag<\/strong>: swampCTF{n0thing_i5_3v3r_d3l3t3d}<\/li> <\/ul> 0x02-Planetary Storage<\/h3> 解题步骤<\/strong>: 提取payload部分<\/li> 进行两次base解码<\/li> <\/ol> <\/li> flag<\/strong>: swampCTF{1pf5-b453d-d474b453}<\/li> <\/ul> 0x03-Preferential Treatment<\/h3> 攻击方法<\/strong>: 从SMB流量导出配置文件Groups.xml<\/li> 提取cpassword密文<\/li> 使用微软公开的AES 256私钥解密<\/li> <\/ol> <\/li> 替代工具<\/strong>: gpp-decrypt "dAw7VQvfj9rs53A8t4PudTVf85Ca5cmC1Xjx6TpI\/cS8WD4D8DXbKiWIZslihdJw3Rf+ijboX7FgLW7pF0K6x7dfhQ8gxLq34ENGjN8eTOI="<\/span> <\/span><\/span><\/code><\/pre><\/li> flag<\/strong>: swampCTF{4v3r463_w1nd0w5_53cur17y}<\/li> <\/ul> 0x04-MuddyWater<\/h3> 解题步骤<\/strong>: 搜索STATUS_SUCCESS关键字<\/li> 追踪流提取NTLMv2哈希<\/li> 使用hashcat破解哈希<\/li> <\/ol> <\/li> 参考链接<\/strong>: https:\/\/zhuanlan.zhihu.com\/p\/52882041<\/li> flag格式<\/strong>: swampCTF{:}<\/li> 示例<\/strong>: hackbackzip:pikeplace<\/li> <\/ul> 0x05-proto<\/h3> 解题要点<\/strong>: 分析数据包中的协议<\/li> 识别与服务器的交互模式<\/li> 提取payload部分进行分析<\/li> <\/ul> <\/li> <\/ul> 二进制(PWN)挑战<\/h2> Oh my buffer<\/h3> 漏洞分析<\/strong>: login函数存在栈任意大小泄露<\/li> reg函数存在0x12字节溢出<\/li> <\/ul> <\/li> 利用步骤<\/strong>: 通过login泄露stack、canary和libc基址<\/li> 通过reg函数构造ROP链<\/li> 覆盖返回地址末位为leave_ret地址<\/li> 进行栈迁移攻击<\/li> <\/ol> <\/li> <\/ul> coredump_GAAS<\/h3> 分析过程<\/strong>: 从core dump文件恢复可执行文件<\/li> 静态分析发现gets和printf漏洞<\/li> 利用printf泄露libc地址<\/li> 构造ret2libc攻击<\/li> <\/ol> <\/li> 保护机制<\/strong>: 无canary和PIE<\/li> <\/ul> notecard<\/h3> 漏洞利用<\/strong>: 检查程序保护机制<\/li> 通过用户名泄露code_base<\/li> 利用未检查的负数索引越界修改指针<\/li> 实现任意位置读写<\/li> 读取GOT表获取libc地址<\/li> 将puts改为system<\/li> 布置"\/bin\/sh"字符串<\/li> 获取shell<\/li> <\/ol> <\/li> 注意<\/strong>: 远程使用libc2.39<\/li> <\/ul> Tinybrain<\/h3> 漏洞分析<\/strong>: Brainfuck解释器<\/li> 256*2个跳转表无边界检查<\/li> 存在RWX内存段<\/li> <\/ul> <\/li> 利用步骤<\/strong>: 写入shellcode<\/li> 移动ptr到跳转表<\/li> 修改\xff跳转表指向shellcode<\/li> 输入\xff执行shellcode<\/li> <\/ol> <\/li> <\/ul> 密码学(Crypto)挑战<\/h2> crypto1 Rock my Password<\/h3> 漏洞类型<\/strong>: 密钥重用<\/li> 解题步骤<\/strong>: 分析1184字符的密文<\/li> 使用已知明文m4(同样1184字符)<\/li> 明文和密文异或得到密钥<\/li> 用密钥异或题目密文得到flag<\/li> <\/ol> <\/li> <\/ul> 总结与学习要点<\/h2> Web安全<\/strong>:<\/p> 关注现代框架漏洞(如Next.js中间件问题)<\/li> 熟练掌握各种注入技术(XSS, XXE, 反序列化)<\/li> 理解编码差异导致的漏洞(如ISO-8859-1 vs UTF-8)<\/li> <\/ul> <\/li> 二进制利用<\/strong>:<\/p> 掌握栈迁移等高级ROP技术<\/li> 熟悉从core dump恢复和分析的技巧<\/li> 理解跳转表漏洞的利用方法<\/li> <\/ul> <\/li> 取证技术<\/strong>:<\/p> 熟练使用各种数据恢复技术<\/li> 掌握Windows系统密码提取方法<\/li> 理解网络协议分析技巧<\/li> <\/ul> <\/li> 密码学<\/strong>:<\/p> 识别并利用密钥重用漏洞<\/li> 掌握基本的加密分析技术<\/li> <\/ul> <\/li> 开源情报<\/strong>:<\/p> 熟练提取和分析元数据<\/li> 掌握地理位置信息追踪技巧<\/li> 了解流行文化引用在CTF中的应用<\/li> <\/ul> <\/li> 杂项技能<\/strong>:<\/p> 掌握隐写术的各种技术<\/li> 了解非常规编程语言(如Whitespace)<\/li> 熟练使用音频分析工具<\/li> <\/ul> <\/li> <\/ol> 这份文档全面涵盖了SwampCTF 2025比赛中的各类挑战，从Web安全到二进制利用，从取证技术到密码学分析，每个题目都提供了详细的技术解析和解题思路，可作为CTF训练和网络安全学习的宝贵参考资料。<\/p>

SwampCTF 2025 比赛Writeup解析与教学文档<\/h1>

Web安全挑战解析<\/h2>

杂项(Misc)挑战<\/h2>

开源情报(OSInt)挑战<\/h2>

取证(Forensics)挑战<\/h2>

二进制(PWN)挑战<\/h2>

密码学(Crypto)挑战<\/h2>