新手也能看懂的BUUCTF Web题通关笔记:从SQL注入到SSTI的实战避坑指南
BUUCTF Web安全实战:从SQL注入到SSTI的深度通关手册
刚接触CTF Web安全的新手常会遇到这样的困境:明明看懂了漏洞原理,实战时却总被各种过滤规则和WAF机制卡住。本文将以BUUCTF平台典型题目为例,拆解Web安全竞赛中的高频漏洞类型,通过12个关键技巧点帮助新手建立系统的解题思维框架。
1. SQL注入的实战进阶路线
1.1 万能密码的底层逻辑
初学者接触的第一个SQL注入案例往往是万能密码。假设登录逻辑为:
SELECT * FROM users WHERE username='$user' AND password='$pwd'构造admin' OR '1'='1作为用户名时,实际执行的语句变为:
SELECT * FROM users WHERE username='admin' OR '1'='1' AND password='任意值'这里需要注意三点:
- 布尔运算优先级:AND优先级高于OR,所以条件等效于
username='admin' OR (true AND false) - 闭合方式选择:单引号闭合比注释符更可靠,如
admin'--在某些场景可能失效 - 编码问题:特殊字符需要URL编码,空格转为
%20,单引号转为%27
1.2 过滤空格的六种绕过方案
当题目过滤空格时,Linux环境下可用这些替代方案:
| 方案 | 示例 | 适用场景 |
|---|---|---|
| ${IFS} | cat${IFS}flag.txt | Bash环境 |
| $IFS$9 | cat$IFS$9flag.txt | 多数Shell |
| 重定向符 | cat<flag.txt | 文件读取 |
| 制表符 | cat%09flag.txt | URL编码 |
| 连续引号 | cat""flag.txt | 引号包裹 |
| 花括号 | {cat,flag.txt} | 命令参数 |
在[GXYCTF2019]Ping Ping Ping题目中,使用cat$IFS$1flag.php成功绕过过滤。
1.3 联合注入的实战要点
手工联合注入时需要掌握这些关键步骤:
- 确定列数:通过
ORDER BY或UNION SELECT递增测试 - 获取数据库信息:
UNION SELECT 1,database(),3,4 - 提取表名的高级技巧:
UNION SELECT 1,(SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema=database()),3 - 处理数据截断:使用
SUBSTR()和LIMIT分片获取长数据
2. 文件包含的三种攻击模式
2.1 伪协议读取源码
PHP伪协议是文件包含的核心武器:
?file=php://filter/convert.base64-encode/resource=flag.php需要注意:
include和require的区别在于错误处理方式allow_url_include需要开启才能使用远程包含- Base64编码可以绕过死亡代码和特殊标签
2.2 备份文件泄露利用
常见的备份文件路径:
/index.php.bak /.index.php.swp /www.zip /.git/config在[ACTF2020]BackupFile题目中,通过扫描发现index.php.bak获取源码。
2.3 日志注入技巧
当其他方法失效时,可以尝试:
- 通过User-Agent注入PHP代码
- 访问不存在的路径记录错误日志
- 包含Apache/Nginx日志文件执行代码
3. 代码审计的四个关键点
3.1 弱类型比较漏洞
PHP的==会进行类型转换,典型漏洞代码:
if(intval($key) == $str) { echo $flag; }解决方案:
- 使用
123匹配123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3 - 注意
0e开头的哈希值会被识别为科学计数法
3.2 黑名单绕过手法
[极客大挑战 2019]Secret File题目中的过滤规则:
strstr($file,"../") || stristr($file, "tp") || stristr($file,"input") || stristr($file,"data")绕过方案:
- 使用
php://代替php://input - 双写特殊字符:
phphp://input - 大小写混合:
PhP://FilTer
3.3 变量解析特性
在[RoarCTF 2019]Easy Calc中,利用PHP的变量解析特性:
// 原始请求 calc.php?num=phpinfo() // 绕过WAF calc.php?%20num=phpinfo()原理:PHP会自动去除变量名前的空格,而WAF可能严格匹配参数名。
3.4 危险函数清单
审计时需要重点关注的函数:
| 函数类别 | 典型函数 | 风险等级 |
|---|---|---|
| 命令执行 | system(), exec() | 高危 |
| 文件操作 | file_get_contents() | 中危 |
| 代码执行 | eval(), assert() | 高危 |
| 反序列化 | unserialize() | 高危 |
4. SSTI模板注入深度解析
4.1 漏洞检测方法论
服务端模板注入检测流程:
- 识别模板引擎:通过错误信息或特殊语法判断
- 测试基本表达式:
{{7*7}}、<%= 7*7 %>等 - 验证命令执行:逐步升级payload复杂度
4.2 Tornado框架利用
[护网杯 2018]easy_tornado题目暴露的漏洞:
# 获取配置信息 {{handler.settings}} # 读取文件内容 {{handler.application.loader.load_module("os").popen("whoami").read()}}4.3 防御方案对比
| 方案 | 优点 | 缺点 |
|---|---|---|
| 沙箱环境 | 隔离彻底 | 性能损耗大 |
| 白名单过滤 | 实现简单 | 可能被绕过 |
| 静态渲染 | 绝对安全 | 灵活性差 |
| 内容转义 | 通用性强 | 需要全面覆盖 |
5. 高效解题的六个习惯
- 查看源码:Chrome开发者工具检查HTML注释和JS代码
- 扫描目录:使用dirsearch等工具发现隐藏资源
- 分析网络请求:Burp Suite抓包观察响应头和行为
- 尝试非常规扩展名:.phtml、.phps等绕过上传限制
- 活用编码转换:Hex、Base64、URL编码互相转换
- 建立漏洞库:分类整理常见payload和绕过技巧
在CTF比赛中,真正的难点往往不是漏洞本身,而是如何绕过各种防御机制。建议新手在本地搭建测试环境,通过修改防御规则来验证不同绕过方法的有效性。例如尝试用这些字符替代空格:
['%09', '%0a', '%0b', '%0c', '%0d', '%a0']记住每个漏洞都有多种解法,当一种方法失效时,立即切换到其他思路。保持耐心和创造力,才是成为Web安全高手的关键。