落鸡山农商行 CTF WriteUp

目标

从初始余额 $2,000 开始，通过挖掘和利用Web应用漏洞，获取尽可能多的资金。

---

第一笔资金：XXS让老师给发了1000（）

一、信息收集与漏洞扫描

1.1 初始侦察

目标URL: http://192.140.176.35:10000

初始会话:

• PHPSESSID=5a401e21df548b6e8ca8f69d115a4ce2
• 初始余额: $1,000
• 用户名: cmijohnson

1.2 页面功能扫描

通过手动浏览和工具扫描，发现以下功能页面:

页面	功能	参数
index.php	账户总览	-
transfer.php	转账功能	to_user, amount
balance_check.php	余额查询	user_id (GET)
poverty_relief.php	资金补助入口	-
aid_apply.php	资金申请	XML (POST)
aid_redeem.php	资金兑换	code (POST)
redeem.php	奖学金兑换	code (POST)
ranking.php	富豪榜	-
messages.php	留言板	content, title (POST)
bank_intro.php	银行介绍	file (GET)
ops_tool.php	运维工具	target (POST)
exchange_x9s8f7.php	隐藏兑换页	code (POST)

1.3 Cookie分析

在浏览器DevTools中发现重要的Cookie配置:

 PHPSESSID=5a401e21df548b6e8ca8f69d115a4ce2
 role=user

发现: role cookie可以被客户端修改！

二、漏洞发现与分析

2.1 访问控制失效 (A01:2021)

漏洞描述

应用使用客户端Cookie role 来判断用户权限，存在严重的访问控制绕过漏洞。

POC

 # 修改Cookie
 Cookie: PHPSESSID=5a401e21df548b6e8ca8f69d115a4ce2; role=admin

利用效果

• 访问 ops_tool.php (运维工具)
• 获得管理员标识
• 可能影响其他权限检查

利用状态

✅ 成功利用 - 获得管理员权限访问

---

2.2 本地文件包含 (LFI)

漏洞位置

bank_intro.php?file=xxx

发现过程

测试常见LFI payload: