2026御网杯-web全解

本文最后更新于 2026年5月31日 上午

前言

这个比赛怎么说呢。。。有点恶心,pwn题环境一直是崩的打不开,web题简单的要命,misc题净出些老题,只能说拉完了

WEB-PHP_Payment

开题,首先看到是一个购物界面,经典逻辑漏洞题,题目又说道要用base64的形式传参获得优惠券来增长余额,所以先看到题目附件,发现存在php反序列化接口

随后跳转到moudle.php,可以看到,先是创建了一个PromoManager对象,然后再__construct调用传入设定好的余额

链子很简单,unserialize()->PromoManager对象生成->promo_credit->__destruct()

搓一个简单的poc

1
2
3
4
5
6
7
8
9
10
11
12
<?php
class PromoManager{
public $promo_credit;
public $promo_code;
}

$promo=new PromoManager();
$promo->promo_credit=100000;
$promo->promo_code="pwn!";
$serialized=serialize($promo);
echo $serialized;
?>

base64转码后上传买flag就可以了

但是这里有一个小坑,购买flag的时候得抓相应包里的flag,因为代码是这样写的(

WEB-Snake_Game

典中典,前端js逆向,来看到这串代码:

发现可以通过创建一个新的index对象修改score来快速改分数

于是构造

1
2
3
4
5
let fd=new FormData();
fd.append('score',300);
fetch('index.php',{method:'POST',body:fd})
.then(r=>r.json())
.then(console.log);

输入到前端console后拿到flag

Web-oa运维系统

​ 神人比赛结束后不给环境复现,就谈谈个人思路

​ 首先看到有一个?moudle=,且题目提示可以目录穿越,当我们访问“关于”页面的时候就会请求/?module=about.php

所以可以爆字典请求/?module=/flag.txt即可拿到flag

Web-ssti

​ 首先现在附件的初始化数据库脚本中拿到默登录的管理员账号密码(环境又关了)

​ 然后再fenjing一把梭:{“profile_id”:1,”data”:{“state”:”AUDIT_PENDING”,”income”:0,”deductions”:0,”custom_footer”:”“}}

拿到密钥secret_tax_key_2026_xoxo

随后伪造管理员登录session后登进系统里进入金库界面拿到flag


2026御网杯-web全解
https://zomnap.github.io/2026/05/31/yuwangbei/
作者
Zomnap
发布于
2026年5月31日
许可协议