文章总结： 本文记录了2026PolarCTF春季赛WEB题目解题过程，涵盖SQL注入、变量覆盖、文件包含、JWT伪造和模板注入等多种漏洞类型。通过手工测试与漏洞分析，详细展示了漏洞发现、payload构造到获取flag的完整流程。文章结构清晰，技术准确，每道题均提供漏洞分析与操作步骤，对CTF参赛者和WEB安全学习者具有较高参考价值。 综合评分： 84 文章分类： WEB安全,CTF,漏洞分析,代码审计,实战经验

成功获得flag为:

flag{47ea7bc31157e1a1a6ca01e26163b726}

3-7 static

通过代码审计发现，程序在防范本地文件包含（LFI）漏洞时，开发者自己写了一个看似严格的hard_filter过滤函数，但实际上在黑名单的处理逻辑上留下了一个极其致命的破绽。

开发者试图用一个 foreach 循环去遍历排查输入路径里的敏感关键字（比如 eval、system、../ 等）。顺着代码逻辑往下看，我注意到一个非常匪夷所思的细节：在匹配到敏感词并用 str_replace 把它替换为空之后，开发者竟然紧接着写了一个 break; 语句！这意味着，过滤系统只要抓到了黑名单数组里排在最前面的那个敏感词，删掉它之后就会直接“打卡下班”，跳出整个检查循环，根本不管字符串的后面是不是还藏着其他更危险的符号。这就给了我们借题发挥的绝佳空间。

此外，程序在最后还强制校验了被过滤后的字符串必须以 static/ 开头，并且会自动在结尾拼接 .php。为了同时满足所有条件并拿到 Flag，我们只需要针对性地构造 URL 参数，直接利用这种“掩护机制”传入：?file=static/eval../flag

成功获得flag：

 flag{030e77f73a4cb26a111daf0470c3956f}

3-10 coke的粉丝团

这里进去直接注册一个账号

这里发现10级灯牌在52页

直接 POST购买请求，服务端不校验余额，购买成功

点击获得flag发现需要admin用户

这里发现是jwt，直接改admin试试，这里发现是无效的签名，重新构造签名试试，token是这个:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.nOLz_J3G5VDs3zimRc_EJzRnYxFbWbJkR3SHADwHmhg

成功获得flag

flag{the_cat_is_coke}

3-12 新年贺卡

点击生成贺卡

为?action开头，在 URL 后加 ?action=admin&debug=add_template，看是否有添加模板的界面或接口。

发送POST请求构造恶意模板

http://782f288a-5d48-4dd2-b709-77b745b52736.www.polarctf.com:8090/?action=generate

template=shell&message=1&cmd=cat /flag.txt触发执行，发现生成一张图片，使用文本打开发现flag

flag为：

flag{09328acfbc035a4e69a710f71eab8a5c}

好靶场介绍

零基础入门不迷茫！专属网络安全从零到一体系化训练——配套完整靶场+精选学习资料，帮你快速搭建网安知识框架，迈出入门关键一步！

全场景实战全覆盖！聚焦Web渗透工程师核心能力，深度拆解TOP10逻辑漏洞，精通PHP代码审计、Java代码审计等核心技能，从基础原理到实战攻防，覆盖行业高频应用场景！

真实漏洞场景沉浸式体验！src训练专题重磅上线——1:1还原真实漏洞报告，让你亲身感受实战挖洞流程，积累符合企业需求的实战经验！

有宝子就问了，主播主播，这么好的靶场怎么用：

首先关注好靶场

然后发送bug，可以点击链接直接登录

福利1

找到个人中心，邀请码输入3e5adb8a55db48b8，白嫖14天高级会员。

福利2

关注好靶场bilibili。拿着关注截图找到客服，领取5积分或者7天高级会员。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小叶Sec 小叶Sec 小叶Sec《【CTF】2026PolarCTF春季赛wp（WEB篇）》