文章总结： 本文记录团队参加第十九届CISCN&长城杯半决赛的技术复盘，上午通过分析MediaDrive题目发现download.php文件上传路径限制及preview.php的反序列化漏洞并完成修复；下午利用Fscan扫描发现shiro漏洞并通过CVE-2021-4034提权获取flag。团队总结存在代码编写能力不足、漏洞修复效率低、Java题目理解困难等问题，建议加强实战编码训练并注意比赛环境维护。 综合评分： 78 文章分类： CTF,渗透测试,漏洞分析,实战经验,WEB安全

第十九届ciscn&长城杯半决赛部分wp及赛后复盘

原创

仰恩网安校队 仰恩网安校队

GET不到的FLAG

2026年3月24日 00:36 广东 标题已修改

在小说阅读器读本章

去阅读

赛前一天队里唯一的pwn手被电动车单杀，三个web手勇闯半决赛，最终排名32名

上午：MediaDrive

防御

download.php限制文件上传路径：

反序列化点在preview.php：

可以看到setcookie存在反序列化漏洞

限制$user->basePath路径

Fix脚本：

修复成功：

 下午：

Fscan扫描到了shiro的漏洞，直接工具一把梭，然后ls拿到flag1

进来看一下s位

发现有pkexec，可以想到CVE-2021-4034 pkexec提权

将exp文件上传，直接运行成功提权：

/root目录发现了flag

直接cat看一下就出来了

Flag：

flag{4235f9c23302d9899b0ce5751bedbfb9}

这次比赛难度相对简单，但是我们准备的还是不充足，也有很多失误，脑子打昏头了。php的break我们本地打出来了，但是不知道为什么靶机上没出来，可能是我们前面的测试把靶机环境打坏了，下次要记得找裁判重启一下靶机。这次也侥幸多吃了几轮的防御分，这次比赛发现一个问题就是平常代码写的太少了，能找到漏洞点但是修复很吃力，会很拖延提交的时间或者修复代码因为语法错误直接没用。java的awdp我们准备了很久，但是这次java我们完全没看懂是在干嘛，赛后看看有没有大佬的wp。下午的渗透还好认出来了是一个历史cve，不然也做不了（吐槽一下这个提权有点考验线下储备，其实可以换一种形式）。不清楚后续是如何横向，我的猜测是进行密码复用，但是不知道真实情况如何。有点可惜，我们还是太菜了，有好多可以注意到的点没有注意到，知识储备也不够。下次争取再接再厉，顺便说一下主办方的饭真不错，点赞。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：GET不到的FLAG 仰恩网安校队 仰恩网安校队《第十九届ciscn&长城杯半决赛部分wp及赛后复盘》