Polar 2024春季赛：从入门到精通，实战拆解CTF核心Web漏洞

1. Polar CTF春季赛入门指南：Web漏洞攻防全景

对于刚接触CTF竞赛的新手来说，Web类题目往往是最容易上手的突破口。今年Polar春季赛的Web方向集中呈现了PHP反序列化、文件包含、SQL注入三大经典漏洞类型，这些恰好是实际渗透测试中最常遇到的攻击面。我们先从整体上理解这些漏洞的杀伤链：

• PHP反序列化：就像把快递包裹重新拆封组装，攻击者通过精心构造的序列化数据触发对象魔术方法，形成RCE（远程代码执行）链条。比赛中那道"PHP_Deserialization"题目，就是利用Day类的__toString方法实现文件读取。
• 文件包含：类似于图书馆管理员拿错书，通过路径遍历（如../../）或伪协议（php://filter）读取敏感文件。实战中常用php://filter/read=convert.base64-encode/resource= 来绕过内容检测。
• SQL注入：好比伪造身份证混入禁区，通过拼接恶意SQL片段获取数据库权限。比赛中"search"题目需要掌握空格绕过（/**/）和大小写混淆技巧。

建议新手先用Docker搭建本地靶场复现这些漏洞，推荐vulhub和WebGoat这两个开源项目。我在最初练习时，会刻意把每道题的解题过程录屏，事后用0.5倍速回放分析操作逻辑。

2. PHP反序列化漏洞深度拆解

2.1 魔术方法触发链条

让我们解剖比赛中最典型的反序列化题目。核心漏洞出现在这段代码：

class Polar { public $night; public function __wakeup() { $this->night->hacker($this->night_arg); } } class Day { public function __toString() { return file_get_contents($this->filename); } }

攻击链构造需要三步走：

1. 通过Polar类的__wakeup触发Night对象的__call魔术方法
2. 将Day对象作为参数传递，触发其__toString方法
3. 修改filename属性实现任意文件读取

我调试时发现个有趣现象：当filename设置为"/flflagag"时，str_replace("flag","",$filename)正好变成"/flag"。这种绕过技巧在真实渗透中也很常见。

2.2 实战payload构造

生成有效载荷的完整过程如下：

$a = new Polar(); $a->night = new Night(); $a->night_arg = new Day(); $a->night_arg->filename = '/flflagag'; echo base64_encode(serialize($a));

这里有个坑点：PHP7+环境下需要保证序列化字符串中的属性数量与实际一致。有次比赛我就因为属性计数错误调试了半小时，后来发现可以用"O:5:"Polar":2"强制声明属性个数。

3. 文件包含的奇技淫巧

3.1 伪协议利用的艺术

比赛中phar题目展示了文件包含的高级玩法：

?file=php://filter/read=convert.base64-encode/resource=./funs.php

这种手法有三大优势：

1. base64编码可绕过内容检测
2. 能读取php文件源码而不触发执行
3. 不受allow_url_include配置限制

我习惯用这个顺序尝试伪协议：

1. php://filter
2. zip://
3. phar://
4. data://

3.2 日志污染实战

有个隐蔽的技巧是包含Apache日志：

?file=/var/log/apache2/access.log

通过User-Agent注入PHP代码，再包含日志文件就能getshell。不过要注意新版Apache默认日志权限已调整，这个方法在CTF中更常见。

4. SQL注入的现代绕过技术

4.1 非常规绕过手法

比赛中的search题目演示了进阶注入技巧：

1'/**/and/**/uPdatexmL(1,coNcat(...))

这里包含几个关键点：

• 用/**/替代空格绕过WAF
• 大小写混淆规避关键字检测
• updatexml报错注入快速获取数据

我在实际渗透测试时，会优先尝试这些现代注入技术：

1. 布尔盲注：substr()+ascii()组合
2. 时间盲注：sleep()+if()组合
3. 报错注入：updatexml()或extractvalue()
4. 堆查询：分号多语句执行

4.2 预处理语句绕过

遇到PDO预处理不要慌，试试这些方法：

# 参数污染 id=1&id=2' union select 1,2,3--+ # 十六进制编码 id=0x3120756e696f6e2073656c6563742031

最近遇到个真实案例：开发者用prepare但直接拼接ORDER BY参数，导致注入漏洞。这种错误在快速开发中相当常见。

5. 防御方案设计与实战建议

5.1 PHP反序列化防护

生产环境建议采用白名单校验：

$allowed_classes = ['SafeClass1', 'SafeClass2']; $data = unserialize($input, ['allowed_classes' => $allowed_classes]);

我在代码审计时重点关注这些危险方法：

• __wakeup()
• __destruct()
• __toString()
• __call()

5.2 文件包含加固

必须实施的防护措施：

1. 设置open_basedir限制访问范围
2. 禁用危险协议：php.ini中设置allow_url_include=Off
3. 真实路径校验：

$realpath = realpath($input); if(strpos($realpath, '/var/www/') !== 0){ die('Hacking attempt!'); }

5.3 SQL注入终极防御

除了参数化查询，还要注意：

1. PDO的ERRMODE_EXCEPTION模式
2. 最小权限原则：应用数据库账号只给必要权限
3. 自定义过滤函数：

function safe_query($db, $sql, $params) { foreach($params as $k=>$v){ if(preg_match('/union|select|sleep/i', $v)){ $params[$k] = ''; } } $stmt = $db->prepare($sql); $stmt->execute($params); return $stmt; }

在最近的银行项目中，我们就通过组合预处理语句+存储过程+权限控制，实现了零注入漏洞的安全目标。CTF中的技巧虽然炫酷，但企业级安全更需要扎实的防御体系。