>Lengkur

[*] loading workspace: `/notes` `/wp` `/tags`

[*] mounting modules: `php` `flask` `mysql` `redis`

[*] parsing writeups and exploit notes

[OK] security knowledge base online

[OK] access granted :: welcome back

initializing terminal ui100%

Go

发表于2026-02-05|更新于2026-05-04|wpSHCTF

|总字数:163|阅读时长:1分钟|浏览量:

直接大小写绕过

Go标准库encoding/json在执行Unmarshal(反序列化)时JSON中的键映射到结构体字段的优先级为
1.精确匹配Tag
2.精确匹配字段名
3.不分大小写匹配

如果JSON中没有Tag和字段名，就会匹配不分大小写的字段名，如
type User struct{
    role string
}
当我们发送{"Role","admin"}，User结构体没有设置Tag，字段名也不匹配，最终在不分大小写中匹配到，role成功赋值admin

但是如果设置了Tag就不行了，如
type User struct{
    role string `json:"role"`
}
这个必须要是role

文章作者: Lengkur

文章链接: https://lengkur.github.io/2026/02/05/wp/SHCTF/Go/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Lengkur！

绕过反序列化 WP SHCTF

相关推荐

1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768 <?phphighlight_f...

Eazy_Pyrunner（复现）

进入靶场，很明显这题考的是python沙盒逃逸，有首页和关于界面，其中首页负责运行python代码在关于页面可以看到url有一个file参数，是一个文件包含包含app.py可以看到源码，在网页看到的是没有格式化的，可以在开发者工具看到格式化后的源码，审计一下 1234567891011...

攻击手法：漏洞点主要在preview.php 看源码 12345678910111213141516if (isset($_COOKIE['user'])) { $user = @unserialize($_COOKIE['user'])...

进来是一个游戏，有反调试机制f12和ctrl+u查看不了源码，可以在url前加上view-source:绕过往下找，找到logic.js 进入后往下可以看到一个比较突出的代码段，这是击败国王后执行的代码把这段代码复制下来，去控制台运行，因为有反调试f12用不了，但是在firefox...

进来是一个计算器，题目是给了源码的，根据题目名和WAF可以知道此题是利用jsfuck编码来执行命令，实现rce 1js引擎可以直接运行jsfuck编码，不需要解码 123456789101112131415161718192021222324252627282930313233343536...

用;，||，*被过滤，还有关键字waf，用&&分割，命令绝对路径配合通配符绕过