【2025PolarCTF秋季个人赛】WEB方向部分wp

white

打开靶机，发现可以执行命令，但是进行了严格的过滤
可以执行的命令是一个白名单

1. ls
2. pwd
3. whoami
4. date
5. echo
6. base64
7. sh

复制代码

白名单命令下方告知了过滤规则，比如禁止危险函数和过滤特殊字符等。有意思的是，这里虽然说过滤特殊字符（如;、&、|、@、!）等，但是我们随便输入一个被过滤的字符，会回显一个过滤字符的正则表达式

1. /[;&`$\'"<>?*[\]{}()#@!%]/

复制代码

而这个正则表达式过滤掉的字符有

1. / [ ; & \ $ ' " < > ? * [ ] { } ( ) # @ ! %`

复制代码

可以发现，并没有管道符 | 。所以管道符拼接就是本题的利用点。
回到白名单，可以发现有echo base64 sh等可以利用，这样解法就很清楚了。
首先给ls命令base64编码为bHM=，然后执行

1. echo bHM=|base64 -d|sh

复制代码

发现可以正常回显，证明这种方法可行
tac /flag编码dGFjIC9mbGFn，执行

1. echo dGFjIC9mbGFn|base64 -d|sh

复制代码

拿到flag
俄罗斯方块

是一个小游戏
游戏开始页面提示够10分给奖励，我们控制台修改score=10，然后消除一行，看到弹窗提示
好吧是个假的奖励。
我们去翻js源码
在下面可以看到一个路由地址，访问拿到flag

1. flag{Polar_gift_of_Squirtle}

复制代码

狗黑子的舔狗日记

进去之后是一个类似微信的页面，我们到处点一点，发现只有消息、朋友圈、我和退出登录这几个页面可以有效访问
dirsearch扫一下，发现flag.php和源码泄露

flag.php是一个类似表白女神的页面，没什么有用信息
www.zip解压出来是一串弱密码，留着备用
然后我们观察切换页面时url的变化，是通过?page参数来改变访问的页面
考虑文件读取漏洞，尝试目录穿越，但是严格过滤了特殊字符，所以目录穿越不可行
然后考虑php伪协议读index.php源码，尝试发现可行，并且在源码中找到了一个base64加密的flag字符串

解base64发现关键信息

注意output编码改为utf-8，否则汉字输出时会乱码
知道了女神的微信号，猜测刚才的弱密码其中有女神微信密码，爆破

拿到密码直接登录，发现可以进到女神和狗黑子的聊天记录

随便发送一条消息即可得到女神名字

md5加密名字即可得到flag

1. flag{aa1e3ea993e122de5de6e387db6c8609}

复制代码

VIP

vip内容需要VIP才能查看，我们抓包查看，发现有一个post参数

1. vipStatus=no

复制代码

给他改成yes拿到flag

polar快递

下载备忘录
在里面找到默认普通账号和默认密码，此时登录发现当前是普通用户权限，无法查看flag
登录时抓包，我们看到一个post参数id=user，给他改成root，登录拿到flag

狗黑子的登录

dirsearch扫一下发现git泄露，githack拿到源码
index.php

1. <?php
2. session_start();
4. if (isset($_SESSION['logged_in']) && $_SESSION['logged_in'] === true) {
5.     header('Location: admin.php');
6.     exit;
7. }
10. if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_POST['seclients_can_register'])) {
11.     $registerValue = $_POST['seclients_can_register'];
12.     // 明确处理0和1两种情况
13.     if ($registerValue == 1) {
14.         $_SESSION['show_register'] = true;  
15.     } elseif ($registerValue == 0) {
16.         $_SESSION['show_register'] = false;
17.     }
18. }
20. // 处理登录
21. $error = '';
22. if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_POST['login'])) {
23.     $username = $_POST['username'] ?? '';
24.     $password = $_POST['password'] ?? '';
25.    
26.     require 'config.php';
27.    
28.     if (isset($users[$username]) && $users[$username] === $password) {
29.         $_SESSION['logged_in'] = true;
30.         $_SESSION['username'] = $username;
31.         header('Location: admin.php');
32.         exit;
33.     } else {
34.         $error = '用户名或密码不正确';
35.     }
36. }
37. ?>
38. <!DOCTYPE html>
39. <html lang="zh-CN">
40. <head>
41.     <meta charset="UTF-8">
42.     <title>狗黑子的小破站</title>
43.    
44. </head>
45. <body>
46.    
47.         <h2>用户登录</h2>
48.         <?php if ($error): ?>
49.             <?php echo $error; ?>
50.         <?php endif; ?>
51.         
52.         <form method="post">
53.             
54.                 <label for="username">用户名</label>
55.                 <input type="text" id="username" name="username" required>
56.             
57.             
58.                 <label for="password">密码</label>
59.                 <input type="password" id="password" name="password" required>
60.             
61.             <button type="submit" name="login">登录</button>
62.             
63.             <?php if (isset($_SESSION['show_register']) && $_SESSION['show_register'] === true): ?>
64.                 <button type="button"  onclick="window.location.href='register.php'">注册</button>
65.             <?php endif; ?>
66.         </form>
67.    
68. </body>
69. </html>

复制代码

admin.php

1. <?php
2. session_start();
4. if (!isset($_SESSION['logged_in']) || $_SESSION['logged_in'] !== true) {
5.     header('Location: index.php');
6.     exit;
7. }
9. if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_POST['seclients_can_upload']) && $_POST['seclients_can_upload'] == 1) {
10.     $_SESSION['show_upload'] = true;
11. }
13. $upload_message = '';
14. if (isset($_SESSION['show_upload']) && $_SESSION['show_upload'] === true && $_SERVER['REQUEST_METHOD'] === 'POST' && isset($_FILES['file'])) {
15.     $target_dir = "uploads/";
16.     if (!file_exists($target_dir)) {
17.         mkdir($target_dir, 0777, true);
18.     }
19.    
20.     $target_file = $target_dir . basename($_FILES["file"]["name"]);
21.     $uploadOk = true;
22.    
24.     if ($_FILES["file"]["size"] < 200 * 1024) {
25.         $upload_message = "文件太小了。";
26.         $uploadOk = false;
27.     }
28.    
30.     $image_types = array('image/jpeg', 'image/png', 'image/gif', 'image/webp');
31.     $file_type = $_FILES["file"]["type"];
32.    
33.     if (!in_array($file_type, $image_types)) {
34.         $upload_message = "只允许上传图片文件 (JPG, PNG, GIF, WEBP)。";
35.         $uploadOk = false;
36.     }
37.    
39.     if ($uploadOk && move_uploaded_file($_FILES["file"]["tmp_name"], $target_file)) {
40.         $upload_message = "文件 " . htmlspecialchars(basename($_FILES["file"]["name"])) . " 上传成功。";
41.     } elseif ($uploadOk) {
42.         $upload_message = "文件上传失败。";
43.     }
44. }
45. ?>
46. <!DOCTYPE html>
47. <html lang="zh-CN">
48. <head>
49.     <meta charset="UTF-8">
50.     <title>狗黑子的小破站</title>
51.    
52. </head>
53. <body>
54.     <h1>恭喜进来<?php echo htmlspecialchars($_SESSION['username']); ?>！</h1>
55.     <p><button>退出登录</button></p>
56.    
57.     <?php if ($upload_message): ?>
58.         
59.             <?php echo $upload_message; ?>
60.         
61.     <?php endif; ?>
62.    
63.     <?php if (isset($_SESSION['show_upload']) && $_SESSION['show_upload'] === true): ?>
64.         
65.             <h2>文件上传</h2>
66.             <form method="post" enctype="multipart/form-data">
67.                 <input type="file" name="file" id="file">
68.                
    
70.                 <input type="submit" value="上传文件" name="upload">
71.             </form>
72.         
73.     <?php endif; ?>
74. </body>
75. </html>

复制代码

思路很简单，首先注册，登录，然后传马拿flag
首先post传参seclient_can_register=1拿到注册按钮，注册账号
这里注意账号密码需要保持统一
注册后登录
在admin.php页面post传seclient_can_upload=1拿到文件上传按钮，这里只检测MIME类型和文件大小，我们在shell.php中写入一句话木马，后面跟上200k的数据即可
[code]