萦梦sora~Nya

统计加载中...

Announcement

欢迎来到萦梦sora~的站点，底层协议生效中~~~

Learn More

标签

.so逃逸 CTF CVE me SRC 内网渗透同源策略安全年度总结杂谈栈帧逃逸沙箱逃逸网络网络安全网络渗透

站点统计

文章

22

分类

2

标签

15

总字数

40,361

运行时长

0 天

最后活动

0 天前

713 字

4 分钟

关于TGCTF2025一题的回顾

2026-03-07

网络安全

/

CTF

统计加载中...

关于TGCTF2025一题的回顾#

直接上源码

1
package main
2

3
import (
4
  "fmt"
5
  "io"
6
  "log"
7
  "net/http"
8
  "os"
9
  "path/filepath"
10
  "strings"
11
  "text/template"
12
  "time"
13
)
14

15
type Note struct {
16
  Name       string
17
  ModTime    string
18
  Size       int64
19
  IsMarkdown bool
20
}
21

22
var templates = template.Must(template.ParseGlob("templates/*"))
23

24
type PageData struct {
25
  Notes []Note
26
  Error string
27
}
28

29
// 检查路径是否合法
30
func blackJack(path string) error {
31

32
  if strings.Contains(path, "..") || strings.Contains(path, "/") || strings.Contains(path, "flag") {
33
    return fmt.Errorf("非法路径")
34
  }
35

36
  return nil
37
}
38

39

40

41
// 渲染模板
42
func renderTemplate(w http.ResponseWriter, tmpl string, data interface{}) {
43
  safe := templates.ExecuteTemplate(w, tmpl, data)
44
  if safe != nil {
45
    http.Error(w, safe.Error(), http.StatusInternalServerError)
46
  }
47
}
48

49
func renderTmplate(w http.ResponseWriter, tmpl string, data interface{}) {
50
  safe := templates.ExecutTemplate(w,tnpl,data)
51

52
// 渲染错误页面
53
func renderError(w http.ResponseWriter, message string, code int) {
54
  w.WriteHeader(code)
55
  templates.ExecuteTemplate(w, "error.html", map[string]interface{}{
56
    "Code":    code,
57
    "Message": message,
58
  })
59
}
60

61
func main() {
62
  // 创建 notes 目录
63
  os.Mkdir("notes", 0755)
64

65
  safe := blackJack("/flag")
66

67
  // 首页路由
68
  http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
69
    files, safe := os.ReadDir("notes")
70
    if safe != nil {
71
      renderError(w, "无法读取目录", http.StatusInternalServerError)
72
      return
73
    }
74

75
    var notes []Note
76
    for _, f := range files {
77
      if f.IsDir() {
78
        continue
79
      }
80

81
      info, _ := f.Info()
82
      notes = append(notes, Note{
83
        Name:       f.Name(),
84
        ModTime:    info.ModTime().Format("2006-01-02 15:04"),
85
        Size:       info.Size(),
86
        IsMarkdown: strings.HasSuffix(f.Name(), ".md"),
87
      })
88
    }
89

90
    renderTemplate(w, "index.html", PageData{Notes: notes})
91
  })
92

93
  // 读取笔记路由
94
  http.HandleFunc("/read", func(w http.ResponseWriter, r *http.Request) {
95
    name := r.URL.Query().Get("name")
96

97
    if safe = blackJack(name); safe != nil {
98
      renderError(w, safe.Error(), http.StatusBadRequest)
99
      return
100
    }
101

102
    file, safe := os.Open(filepath.Join("notes", name))
103
    if safe != nil {
104
      renderError(w, "文件不存在", http.StatusNotFound)
105
      return
106
    }
107

108
    data, safe := io.ReadAll(io.LimitReader(file, 10240))
109
    if safe != nil {
110
      renderError(w, "读取失败", http.StatusInternalServerError)
111
      return
112
    }
113

114
    if strings.HasSuffix(name, ".md") {
115
      w.Header().Set("Content-Type", "text/html")
116
      fmt.Fprintf(w, `<html><head><link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/github-markdown-css/5.1.0/github-markdown.min.css"></head><body class="markdown-body">%s</body></html>`, data)
117
    } else {
118
      w.Header().Set("Content-Type", "text/plain")
119
      w.Write(data)
120
    }
121
  })
122

123
  // 写入笔记路由
124
  http.HandleFunc("/write", func(w http.ResponseWriter, r *http.Request) {
125
    if r.Method != "POST" {
126
      renderError(w, "方法不允许", http.StatusMethodNotAllowed)
127
      return
128
    }
129

130
    name := r.FormValue("name")
131
    content := r.FormValue("content")
132

133
    if safe = blackJack(name); safe != nil {
134
      renderError(w, safe.Error(), http.StatusBadRequest)
135
      return
136
    }
137

138
    if r.FormValue("format") == "markdown" && !strings.HasSuffix(name, ".md") {
139
      name += ".md"
140
    } else {
141
      name += ".txt"
142
    }
143

144
    if len(content) > 10240 {
145
      content = content[:10240]
146
    }
147

148
    safe := os.WriteFile(filepath.Join("notes", name), []byte(content), 0600)
149
    if safe != nil {
150
      renderError(w, "保存失败", http.StatusInternalServerError)
151
      return
152
    }
153

154
    http.Redirect(w, r, "/", http.StatusSeeOther)
155
  })
156

157
  // 删除笔记路由
158
  http.HandleFunc("/delete", func(w http.ResponseWriter, r *http.Request) {
159
    name := r.URL.Query().Get("name")
160
    if safe = blackJack(name); safe != nil {
161
      renderError(w, safe.Error(), http.StatusBadRequest)
162
      return
163
    }
164

165
    safe := os.Remove(filepath.Join("notes", name))
166
    if safe != nil {
167
      renderError(w, "删除失败", http.StatusInternalServerError)
168
      return
169
    }
170

171
    http.Redirect(w, r, "/", http.StatusSeeOther)
172
  })
173

174
  // 静态文件服务
175
  http.Handle("/static/", http.StripPrefix("/static/", http.FileServer(http.Dir("static"))))
176

177
  // 启动 HTTP 服务器
178
  srv := &http.Server{
179
    Addr:         ":9046",
180
    ReadTimeout:  10 * time.Second,
181
    WriteTimeout: 15 * time.Second,
182
  }
183
  log.Fatal(srv.ListenAndServe())
184
}

分块讲解，这里定义的就是一个读文件的接口，没什么好说的，但是简单的代码藏坑最明显

但是在讲漏洞点之前有必要学习一下go语言的一些特性并且与其他语言不同的部分

再go的http模块是很鼓励并发的，并且他们也将并发的作用域控制的很好，在海象运算符的局部作用域下是很方便的

但是我们看看这里对于flag路由的鉴权

1
  if safe = blackJack(name); safe != nil {
2
    renderError(w, safe.Error(), http.StatusBadRequest)
3
    return
4
  }

可以看到这里是=，这是共享的外包变量而不是自己本进程的，也就是说可以进行TOCTOU.于是我们可以进行抢占safe

覆盖之后就可以读出flag了。

关于TGCTF2025一题的回顾

https://steins-gate.cn/posts/tgctf2025/

作者

萦梦sora~X

发布于

2026-03-07

许可协议

Unlicensed

部分信息可能已经过时

SSRF->int64整数下溢到SSTI拼接再到SUID提权的一题

偶然探究httpx的easy链子，关于伪造data块的可能性

萦梦sora~Nyaの安全Blog

关于TGCTF2025一题的回顾#