题目核心逻辑如下

let browser; // 全局浏览器实例// 访问指定 URL 的异步函数
const visit = async (url) => {try {// 如果已有浏览器实例，先关闭并等待 2 秒if (browser) {await browser.close();await sleep(2000);console.log("Terminated ongoing job.");}// 启动 puppeteer，使用 chrome，无头模式browser = await puppeteer.launch({browser: 'chrome',headless: true,args: ["--disable-features=HttpsFirstBalancedModeAutoEnable","--no-sandbox"]});// 创建新的浏览器上下文const ctx = await browser.createBrowserContext();// 新建页面，访问 flag 页面并设置 localStoragepage = await ctx.newPage();await page.goto(`http://traefik/flag`, { timeout: 3000, waitUntil: 'domcontentloaded' });await page.evaluate((flag) => {localStorage.setItem('flag', flag); // 将 flag 存入 localStorage}, FLAG);await sleep(500); // 等待 0.5 秒await page.close(); // 关闭页面// 新建页面，访问用户提交的 URLpage = await ctx.newPage();await page.goto(url, { timeout: 3000, waitUntil: 'domcontentloaded' });await sleep(1000 * 60 * 2); // 停留 2 分钟await browser.close(); // 关闭浏览器browser = null;} catch (err) {// 捕获并打印异常console.log(err);} finally {// 最终关闭浏览器并打印日志console.log('close');if (browser) await browser.close();}
};

http:routers:bot:rule: 'PathPrefix(`/bot`)'service: botdashboard:rule: "PathPrefix(`/dashboard`) || PathPrefix(`/api`)"service: api@internalservices:bot:loadBalancer:servers:- url: "http://bot:3000"middlewares:cache-on-steroids:plugin:plugin-simplecache:path: /tmp/CacheQueryParams: Truemaxage:headers:customResponseHeaders:Cache-Control: "max-age=20"coop:headers:customResponseHeaders:Cross-Origin-Opener-Policy: "same-origin"

log:level: INFOaccessLog: {}entryPoints:web:address: ":80"http:middlewares:- maxage- coop- cache-on-steroidsproviders:file:filename: /config/dynamic.ymlapi:dashboard: trueexperimental:plugins:plugin-simplecache:moduleName: "github.com/scrazy77/plugin-simplecache-nocache"version: "v0.0.5"

服务器使用了此插件，插件存在默认不安全行为，忽略查询参数作为缓存判断的关键

// Config 配置中间件的结构体。
type Config struct {Path               string   `json:"path" yaml:"path" toml:"path"`                         // 缓存文件存储路径MaxExpiry          int      `json:"maxExpiry" yaml:"maxExpiry" toml:"maxExpiry"`          // 缓存最大过期时间（秒）Cleanup            int      `json:"cleanup" yaml:"cleanup" toml:"cleanup"`                // 清理周期（秒）AddStatusHeader    bool     `json:"addStatusHeader" yaml:"addStatusHeader" toml:"addStatusHeader"` // 是否添加缓存状态头CacheQueryParams   bool     `json:"cacheQueryParams" yaml:"cacheQueryParams" toml:"cacheQueryParams"` // 是否缓存查询参数ForceNoCacheHeader bool     `json:"forceNoCacheHeader" yaml:"forceNoCacheHeader" toml:"forceNoCacheHeader"` // 是否强制添加 no-cache 头BlacklistedHeaders []string `json:"blacklistedHeaders" yaml:"blacklistedHeaders" toml:"blacklistedHeaders"` // 黑名单头部，命中则不缓存
}// CreateConfig 返回一个默认配置实例。
func CreateConfig() *Config {return &Config{MaxExpiry:          int((5 * time.Minute).Seconds()), // 默认最大过期时间5分钟Cleanup:            int((5 * time.Minute).Seconds()), // 默认清理周期5分钟AddStatusHeader:    true,                             // 默认添加缓存状态头CacheQueryParams:   false,                            // 默认不缓存查询参数ForceNoCacheHeader: false,                            // 默认不强制 no-cacheBlacklistedHeaders: []string{},                       // 默认无黑名单头部}
}

可以通过使用 Host： traefik 标头发送请求来在 http://traefik 上执行缓存中毒。如果服务器后端没有正确处理host头,缓存中毒有可能使得攻击者凭空捏造出内部内部可访问的url(http://fake/)

可以通过使用 Host： traefik 标头发送请求来在 http://traefik 上执行缓存中毒。

缓存键仅由 HTTP 方法、主机名和路径组成，默认情况下甚至不包括查询参数缓存键完全忽略了 Range 请求头，这意味着具有不同/没有 Range 的请求会命中相同的缓存条目

// cacheKey 生成缓存键。
func (m *cache) cacheKey(r *http.Request) string {if m.cfg.CacheQueryParams {return r.Method + r.Host + r.URL.Path + r.URL.RawQuery // 包含查询参数}return r.Method + r.Host + r.URL.Path // 不包含查询参数
}

我们只需想办法配合题目不缓存参数的错误从服务器上凑齐如下“ROP”的方法即可

<iframe src="URL" name="XSS_payload">

Gadget 代码	作用
e=this	拿到全局对象
t=e.name	读取 window.name
i=t	复制变量
s=2	设置延时
setTimeout(i,t,s)	执行 XSS

我们还可以利用这一点使得不同的路径返回同一文件的不同部分

http://a/b/c.txt?/../d.txt -> http://a/d.txt

配合题目不缓存参数的错误,想办法凑出即可

Default-qPSf0Yui.js/..%2f..%2f/#/udp/a 加载 index-BH-fqmTU.js 和 api-DHmvWmr7.js，而 #/udp/routers 加载更多模块。

完整利用脚本

繁忙的交通 |justCTF 2025 — Busy Traffic | justCTF 2025