CTF Writeup 教学文档：命令执行绕过、SSTI、SQL注入、文件上传等技巧<\/h1>

1. Web安全挑战<\/h2>

1.1 ping_server - 命令执行绕过<\/h3>

题目类型<\/strong>：命令执行绕过<\/p>

关键点<\/strong>：<\/p>

WAF将常见命令分隔符替换为空<\/li>
需要绕过过滤执行系统命令<\/li> <\/ul>
解决方案<\/strong>：<\/p>

使用未过滤的命令分隔符或组合<\/li>
典型payload结构：command1;command2<\/code> 或 command1&&command2<\/code><\/li> <\/ul> 防御措施<\/strong>：<\/p> 避免直接拼接用户输入到系统命令<\/li> 使用白名单验证输入<\/li> 转义所有特殊字符<\/li> <\/ul> 1.2 template_injection - SSTI (服务器端模板注入)<\/h3> 题目类型<\/strong>：服务器端模板注入<\/p> 关键点<\/strong>：<\/p> 传入参数为name<\/code><\/li> 过滤了括号()<\/code>，限制了传统SSTI payload的使用<\/li> <\/ul> 解决方案<\/strong>：<\/p> 使用lipsum<\/code>函数读取环境变量<\/li> 典型payload结构：{{lipsum.__globals__.__builtins__.open('\/etc\/passwd').read()}}<\/code><\/li> <\/ul> 进阶技巧<\/strong>：<\/p> 当括号被过滤时，可以使用属性访问链<\/li> 利用__globals__<\/code>访问全局变量<\/li> 使用__builtins__<\/code>访问内置函数<\/li> <\/ul> 防御措施<\/strong>：<\/p> 使用沙盒环境执行模板<\/li> 限制模板可访问的对象和方法<\/li> 对用户输入进行严格过滤<\/li> <\/ul> 1.3 ezsql - SQL注入<\/h3> 题目类型<\/strong>：SQLite手工注入<\/p> 关键点<\/strong>：<\/p> 数据库为SQLite<\/li> 需要手工构造注入语句<\/li> <\/ul> 解决方案<\/strong>：<\/p> 发现表名：<\/li> <\/ol> SELECT<\/span> name FROM<\/span> sqlite_master WHERE<\/span> type<\/span>=<\/span>'table'<\/span> <\/span><\/span><\/code><\/pre> 发现Secrets表后爆flag：<\/li> <\/ol> SELECT<\/span> *<\/span> FROM<\/span> Secrets <\/span><\/span><\/code><\/pre>SQLite注入特点<\/strong>：<\/p> 使用sqlite_master<\/code>系统表获取元数据<\/li> 字符串连接使用||<\/code>而非+<\/code><\/li> 注释使用--<\/code>或\/* *\/<\/code><\/li> <\/ul> 防御措施<\/strong>：<\/p> 使用参数化查询<\/li> 最小权限原则<\/li> 输入验证和过滤<\/li> <\/ul> 1.4 upload-difficult - 文件上传漏洞<\/h3> 题目类型<\/strong>：文件上传漏洞<\/p> 关键点<\/strong>：<\/p> 未对上传文件类型进行有效过滤<\/li> 可直接上传PHP文件获取shell<\/li> <\/ul> 解决方案<\/strong>：<\/p> 直接上传PHP webshell文件<\/li> 访问上传的文件路径执行代码<\/li> <\/ul> 非预期解<\/strong>：<\/p> 题目本意可能是考察PHAR文件上传<\/li> 但由于逻辑缺陷导致可直接上传PHP<\/li> <\/ul> 防御措施<\/strong>：<\/p> 验证文件类型和内容<\/li> 存储上传文件时重命名<\/li> 限制可执行文件的存储位置<\/li> 设置适当的文件权限<\/li> <\/ul> 2. 杂项(MISC)挑战<\/h2> 2.1 Interesting_web - 源码分析<\/h3> 解题步骤<\/strong>：<\/p> 访问网页查看源码<\/li> 在cc.gif<\/code>中分帧查看图片<\/li> 发现隐藏的flag<\/li> <\/ol> 技巧<\/strong>：<\/p> 使用工具如binwalk<\/code>分析文件<\/li> 逐帧查看GIF动画<\/li> 检查文件元数据<\/li> <\/ul> 2.2 Hidden_Evidence - 隐写术<\/h3> 解题步骤<\/strong>：<\/p> 保存页面中的特定图片<\/li> 用文本编辑器打开图片文件<\/li> 发现base64编码的数据<\/li> 解码后加上flag格式<\/li> <\/ol> 技巧<\/strong>：<\/p> 检查文件的十六进制内容<\/li> 尝试不同编码方式<\/li> 注意文件末尾的附加数据<\/li> <\/ul> 2.3 网络迷踪 - OSINT(开源情报)<\/h3> 解题步骤<\/strong>：<\/p> 使用Google搜图功能<\/li> 定位图片大致位置<\/li> 根据文章内容精确定位<\/li> 在珠江西路前加上"珠江新城"得到flag<\/li> <\/ol> 技巧<\/strong>：<\/p> 使用多个搜索引擎反向图片搜索<\/li> 结合地理特征和文字线索<\/li> 验证多个可能的位置<\/li> <\/ul> 3. 密码学(Crypto)挑战<\/h2> 3.1 xor_index_cipher - 异或加密<\/h3> 加密原理<\/strong>：<\/p> 基于索引和异或操作的加密算法<\/li> <\/ul> 解密步骤<\/strong>：<\/p> 分析加密代码逻辑<\/li> 逆向操作过程<\/li> 实现解密算法<\/li> <\/ol> 关键点<\/strong>：<\/p> 理解异或操作的可逆性<\/li> 跟踪索引变化<\/li> 精确还原加密过程<\/li> <\/ul> 3.2 RSA - 非对称加密<\/h3> 解题步骤<\/strong>：<\/p> 分析给出的RSA参数<\/li> 实现解密算法<\/li> 成功获取flag<\/li> <\/ol> 关键点<\/strong>：<\/p> 理解RSA数学原理<\/li> 正确处理大数运算<\/li> 注意填充方案<\/li> <\/ul> 3.3 破解数据流 - 流密码分析<\/h3> 解题步骤<\/strong>：<\/p> 分析加密数据流<\/li> 识别加密模式<\/li> 实现解密算法<\/li> 获取原始flag<\/li> <\/ol> 技巧<\/strong>：<\/p> 分析数据流模式<\/li> 尝试已知明文攻击<\/li> 验证解密结果<\/li> <\/ul> 4. PWN挑战<\/h2> 4.1 easy_pwn_2 - 简单逆向<\/h3> 解题步骤<\/strong>：<\/p> 直接用文本编辑器打开文件<\/li> 在文件中搜索flag格式<\/li> 直接获取flag<\/li> <\/ul> 技巧<\/strong>：<\/p> 检查文件的字符串表<\/li> 使用strings<\/code>命令快速查找<\/li> 分析文件元数据<\/li> <\/ul> 4.2 calculator - 缓冲区溢出<\/h3> 漏洞分析<\/strong>：<\/p> calculate(&argc)<\/code>函数存在缓冲区溢出<\/li> s<\/code>变量没有长度限制<\/li> 存在直接读取flag的函数<\/li> <\/ol> 利用步骤<\/strong>：<\/p> 构造足够长的输入覆盖返回地址<\/li> 将返回地址覆盖为读flag函数的地址<\/li> 触发漏洞执行目标函数<\/li> <\/ol> 关键点<\/strong>：<\/p> 确定偏移量<\/li> 处理地址对齐<\/li> 绕过可能的保护机制(如ASLR)<\/li> <\/ul> 防御措施<\/strong>：<\/p> 使用安全的字符串函数<\/li> 启用栈保护(Stack Canary)<\/li> 使用地址随机化(ASLR)<\/li> 编译时启用栈不可执行(NX)<\/li> <\/ul> 5. 通用CTF技巧总结<\/h2> Web安全<\/strong>：<\/p> 始终检查输入验证和过滤逻辑<\/li> 尝试多种编码和绕过技术<\/li> 理解服务器端处理流程<\/li> <\/ul> <\/li> 密码学<\/strong>：<\/p> 精确实现加密\/解密算法<\/li> 注意数据格式和编码<\/li> 利用已知弱点(如RSA的小指数)<\/li> <\/ul> <\/li> 逆向工程<\/strong>：<\/p> 静态分析与动态调试结合<\/li> 识别关键函数和漏洞点<\/li> 构造精确的利用载荷<\/li> <\/ul> <\/li> 杂项<\/strong>：<\/p> 全面检查文件内容和元数据<\/li> 使用合适的工具进行分析<\/li> 结合多种信息源解决谜题<\/li> <\/ul> <\/li> 漏洞利用<\/strong>：<\/p> 理解内存布局和保护机制<\/li> 精确控制程序执行流<\/li> 利用现有功能(如后门函数)<\/li> <\/ul> <\/li> <\/ol>