Web-值班邮件台

ISCC2026 WriteUp 提交模板

Web-值班邮件台

题目描述

夜班值守，手别太快。别人的邮件别乱翻，自己的联调痕迹也别乱留。台子搭得仓促，收尾却没收干净，安静的界面下面，总还有点不该留下的东西。
题目地址：39.105.213.28:49103

解题思路

1-修改cookie进行越权

注意到题目有显示当前登录用户是guest角色是user，考虑一把越权。访问后台预览面板

抓包查看，进入后台预览面板的包，有如下内容：

很明显Cookie这里有越权我们修改为：mail_role=admin,如下图

刷新一下，修改成功。如下图：

再次进入后台

有个文档链接： http://39.105.213.28:49103/download.php?file=files/notes/preview-readme.txt ，访问下

[后台预览面板联调说明]

1. 仅供值班管理员使用。
2. 预览器只用于查看本机内部诊断结果，不支持外部地址。
3. 原型阶段的双人复核逻辑已单独摘录，调试时可直接查看：admin.php
4. 诊断地址命名规则已从后台原型迁出，当前以 route-index.txt 为准。
5. 线上会删掉这些联调材料，值班同学看完记得清理。

根据提示访问：http://39.105.213.28:49103/download.php?file=files/notes/route-index.txt

[内部诊断路由索引]
当前仍保留的诊断别名如下：
- health  -> /internal/health
- mailq   -> /internal/queue
- final   -> /internal/report?view=flag&slot=last

可以看到这里出现了参数flag：- final -> /internal/report?view=flag&slot=last

2-过弱比较

先看一下后台预览面板，随便填写下：

知道A和B的输入不能完全相同。
又设置A=1,B=2输出：双人复核未通过：两份预览凭据无法相互印证。

这里猜测是个PHP弱比较，根据以往经验这种一般就是hash比较了。这里找到了一组md5(a) =md5(b)的：a: 240610708 ，b: QNKCDZO，试了下发现诊断通过输出：双人复核通过，开始请求诊断结果。

接着就是看诊断地址了，上面不是说路由里泄露了一个又flag的地址：/internal/report?view=flag&slot=last，尝试了几下发现是要填写：http://39.105.213.28:49103/internal/report?view=flag&slot=last

ISCC{ACxmCnWgL3C7LqWImKfgtK6h}

Exp

本题没有用到EXP