TPCTF2025 复现技术解析<\/h1>

1. Baby Layout 题目解析<\/h2>

题目特点<\/h3>
对postid<\/code>参数有限制<\/li>
使用异步请求处理report<\/code>路由<\/li>
设置5秒超时<\/li>
将flag注入到Cookie中<\/li>
限制访问频率为每分钟2次<\/li>
使用session保存会话状态<\/li>
字符长度限制为500<\/li>
<\/ul>
漏洞利用<\/h3>


XSS绕过<\/strong>：<\/p>

使用DOMPurify进行XSS过滤<\/li>
在生成POST阶段将{{content}}<\/code>替换<\/li>
可以拼接绕过过滤<\/li>
<\/ul>
<\/li>

POC构造<\/strong>：<\/p>

<\/span><\/span><\/code><\/pre>
利用DOMPurify不会消除img<\/code>标签的特性<\/li>
注意注入时机是在生成post时进行替换<\/li>
<\/ul>
<\/li>
<\/ol>
2. Safe Layout 题目解析<\/h2>
与Baby Layout的区别<\/h3>

设置了ALLOWED_ATTR: []<\/code>禁用所有HTML属性<\/li>
但自定义属性仍然可以使用<\/li>
<\/ul>
绕过方法<\/h3>
<div<\/span> custom-attribute<\/span>=<\/span>"malicious"<\/span>><\/div<\/span>>
<\/span><\/span><\/code><\/pre>3. Safe Layout Revenge 题目解析<\/h2>
新增限制<\/h3>

ALLOW_ARIA_ATTR: false<\/code>：禁止ARIA属性<\/li>
ALLOW_DATA_ATTR: false<\/code>：禁止data-*自定义属性<\/li>
<\/ul>
绕过思路<\/h3>

利用DOMPurify特定版本漏洞<\/li>
参考文章：https:\/\/ensy.zip\/posts\/dompurify-323-bypass\/<\/li>
利用{{content}}<\/code>置空特性进行穿插绕过<\/li>
<\/ol>
4. Supersqli 题目解析<\/h2>
环境特点<\/h3>

使用SQLite3数据库<\/li>
严格的黑名单过滤<\/li>
需要通过密码更新获取flag<\/li>
<\/ul>
关键文件<\/h3>

go<\/code>文件：作为代理层进行WAF过滤<\/li>
views.py<\/code>：实际执行查询<\/li>
<\/ol>
注入技术<\/h3>


时间盲注<\/strong>：<\/p>

构造延时数据包验证漏洞存在<\/li>
<\/ul>
<\/li>

Quine注入<\/strong>：<\/p>

查询语句和查询结果保持一致的特殊注入手法<\/li>
将MySQL示例适配为SQLite3语法<\/li>
<\/ul>
<\/li>
<\/ol>
示例POC<\/h3>
SELECT<\/span> REPLACE<\/span>(REPLACE<\/span>('SELECT REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") AS "quine"'<\/span>,CHAR(34<\/span>),CHAR(39<\/span>)),CHAR(36<\/span>),'SELECT REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") AS "quine"'<\/span>) AS<\/span> "quine"<\/span>
<\/span><\/span><\/code><\/pre>5. Thumbor 1 题目解析<\/h2>
环境分析<\/h3>

仅提供Dockerfile<\/li>
需要从GitHub拉取应用源码<\/li>
提示不是0day漏洞<\/li>
<\/ul>
漏洞发现<\/h3>

检查README发现"unsafe"相关可疑描述<\/li>
可能存在的漏洞：

ImageMagick任意文件读取漏洞<\/li>
参考：https:\/\/www.freebuf.com\/vuls\/359193.html<\/li>
<\/ul>
<\/li>
<\/ol>
利用方法<\/h3>

使用P牛脚本生成特殊PNG文件<\/li>
保存为flag.png进行利用<\/li>
<\/ol>
6. Thumbor 2 题目解析<\/h2>
与Thumbor 1的区别<\/h3>

题目描述与Thumbor 1无关<\/li>
同样不是0day漏洞<\/li>
增加了更多文件<\/li>
<\/ul>
漏洞利用<\/h3>


官方WP参考<\/strong>：<\/p>

https:\/\/www.canva.dev\/blog\/engineering\/when-url-parsers-disagree-cve-2023-38633\/<\/li>
<\/ul>
<\/li>

利用技术<\/strong>：<\/p>

使用libsvg进行XInclude回退实现任意文件读取<\/li>
<\/ul>
<\/li>

POC示例<\/strong>：<\/p>
<xi:include<\/span> href=<\/span>"file:\/\/\/etc\/passwd"<\/span> xmlns:xi=<\/span>"http:\/\/www.w3.org\/2001\/XInclude"<\/span>\/><\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
注意事项<\/h3>

外部文件加载后内容无法覆盖更新<\/li>
如使用2.svg，修改内容后仍加载原始内容<\/li>
<\/ul>
7. Are-You-Incognito 题目解析<\/h2>
题目要求<\/h3>

必须是一个HTTP服务才能被处理<\/li>
使用visit.js加载指定扩展<\/li>
设置5秒超时<\/li>
每分钟只允许2次请求<\/li>
<\/ul>
关键代码分析<\/h3>
if<\/span> (browser<\/span>.extension<\/span>.inIncognitoContext<\/span>) {
<\/span><\/span>    \/\/ 访问\/flag路由
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>攻击方法<\/h3>


DOM Clobbering攻击<\/strong>：<\/p>

劫持覆盖全局变量<\/li>
绕过inIncognitoContext<\/code>检查<\/li>
<\/ul>
<\/li>

实现步骤<\/strong>：<\/p>

创建伪造的extension对象<\/li>
设置inIncognitoContext<\/code>为true<\/li>
提供\/flag路由供扩展访问<\/li>
<\/ul>
<\/li>
<\/ol>
示例实现<\/h3>
<script<\/span>>
<\/span><\/span>\/\/ 伪造extension对象
<\/span><\/span><\/span><\/span>window.browser<\/span> =<\/span> {
<\/span><\/span>    extension<\/span>:<\/span> {
<\/span><\/span>        inIncognitoContext<\/span>:<\/span> true<\/span>
<\/span><\/span>    }
<\/span><\/span>};
<\/span><\/span><\/script<\/span>>
<\/span><\/span><\/code><\/pre>总结<\/h2>
本系列题目涵盖了多种Web安全技术：<\/p>

XSS绕过技术（包括DOMPurify绕过）<\/li>
SQL注入高级技巧（Quine注入）<\/li>
文件读取漏洞利用<\/li>
DOM Clobbering攻击<\/li>
各种安全限制的绕过方法<\/li>
<\/ol>
每道题目都考察了不同的安全知识点，需要结合具体环境特点进行分析和利用。<\/p>