GHCTF Web方向题目解析与技巧总结<\/h1>

文件上传与SSTI注入<\/h2>

题目分析<\/h3>

题目描述了一个文件上传服务器，存在SSTI(服务器端模板注入)漏洞。<\/p>

关键点<\/strong>：<\/p>

漏洞位置在查看文件内容处<\/li>
访问路径为\/file\/文件名<\/code>，如\/file\/1.txt<\/code><\/li>
源码中的parse<\/code>方法解析XML，寻找name属性并返回其值<\/li> <\/ol> 利用方法<\/h3> XML注入<\/strong>：构造恶意XML文件实现数据外带<\/li> SSTI利用<\/strong>：通过文件上传触发模板注入漏洞<\/li> <\/ol> SQL注入绕过技巧<\/h2> 题目特征<\/h3> 过滤了空格字符<\/li> 存在5个位置但只有4个回显位<\/li> <\/ul> 利用方法<\/h3> 使用sqlmap<\/strong>： sqlmap -r sql.txt -p id --dbs -T flag -C flag --dump <\/span><\/span><\/code><\/pre><\/li> 手工注入<\/strong>：绕过空格过滤（使用注释\/**\/或+号替代）<\/li> 通过回显位获取flag表中的flag字段<\/li> <\/ul> <\/li> <\/ol> PHP反序列化漏洞<\/h2> POP链构造方法<\/h3> 寻找起点<\/strong>：优先查找__destruct<\/code>或__construct<\/code>魔术方法<\/li> 终极调用点<\/strong>：寻找可能导致代码执行的函数如call_user_func<\/code><\/li> 链式调用<\/strong>：未定义方法触发__call<\/code><\/li> 未定义属性触发__get<\/code><\/li> 对象作为函数调用触发__invoke<\/code><\/li> <\/ul> <\/li> <\/ol> 关键函数<\/h3> array_walk<\/code>：遍历数组并对每个元素执行回调函数<\/li> 利用PHP原生类进行文件操作<\/li> <\/ul> 文件包含与路径穿越<\/h2> 利用方法<\/h3> 通过\/proc\/self\/environ<\/code>获取环境变量<\/li> 路径穿越读取源码： ..\/..\/..\/..\/<\/span>etc<\/span>\/<\/span>passwd<\/span> <\/span><\/span><\/code><\/pre><\/li> 读取Docker环境文件<\/li> <\/ol> .htaccess文件上传绕过<\/h2> 绕过技巧<\/h3> 添加图片文件头： #define width 1337<\/span> <\/span><\/span>#define height 1337<\/span> <\/span><\/span><\/code><\/pre>或16进制头：\x00\x00\x8a\x39\x8a\x39<\/code><\/li> 设置Content-Type为image\/gif<\/code><\/li> 上传恶意.htaccess后再上传webshell<\/li> <\/ol> MD5强碰撞利用<\/h2> 工具与方法<\/h3> 使用fastcoll_v1.0.0.5.exe<\/code>生成碰撞文件<\/li> 通过BP发包利用碰撞漏洞<\/li> 本地生成payload直接攻击<\/li> <\/ol> PHP过滤器链利用<\/h2> 利用步骤<\/h3> 读取\/proc\/self\/maps<\/code>获取内存映射信息<\/li> 定位libc库位置： php<\/span>:\/\/<\/span>filter<\/span>\/<\/span>convert<\/span>.<\/span>base64<\/span>-<\/span>encode<\/span>\/<\/span>resource<\/span>=\/<\/span>lib<\/span>\/<\/span>x86_64<\/span>-<\/span>linux<\/span>-<\/span>gnu<\/span>\/<\/span>libc<\/span>-<\/span>2.31<\/span>.<\/span>so<\/span> <\/span><\/span><\/code><\/pre><\/li> 使用工具生成利用代码： GitHub项目：php-filter-iconv<\/code><\/li> 将maps和libc文件放在同一目录<\/li> <\/ul> <\/li> <\/ol> 会话伪造与加密绕过<\/h2> 利用方法<\/h3> 爆破获取管理员凭证（如admin\/admin123）<\/li> 读取环境变量获取加密密钥和IV<\/li> 本地生成加密payload： # 在Linux系统上运行<\/span> <\/span><\/span>from<\/span> Crypto.Cipher import<\/span> AES <\/span><\/span># 使用获取的key和IV加密payload<\/span> <\/span><\/span><\/code><\/pre><\/li> 将加密结果放入session字符串<\/li> <\/ol> Gopher协议利用<\/h2> 攻击步骤<\/h3> 扫描发现app.py源码<\/li> 绕过127.0.0.1限制（使用0.0.0.0）<\/li> 构造Gopher请求： \/<\/span>Gopher?<\/span>url=<\/span>gopher:\/\/<\/span>0.0.0.0<\/span>:8000<\/span>\/<\/span>_POST%<\/span>20<\/span>\/<\/span>Manage%<\/span>20<\/span>HTTP\/<\/span>1.1<\/span>%<\/span>0<\/span>D%<\/span>0<\/span>AHost%<\/span>3<\/span>A%<\/span>200.0.0.0<\/span>%<\/span>3<\/span>A8000%<\/span>0<\/span>D%<\/span>0<\/span>AContent-<\/span>Type%<\/span>3<\/span>A%<\/span>20<\/span>application\/<\/span>x-<\/span>www-<\/span>form-<\/span>urlencoded%<\/span>0<\/span>D%<\/span>0<\/span>AContent-<\/span>Length%<\/span>3<\/span>A%<\/span>207<\/span>%<\/span>0<\/span>D%<\/span>0<\/span>A%<\/span>0<\/span>D%<\/span>0<\/span>Acmd%<\/span>3<\/span>Denv%<\/span>0<\/span>D%<\/span>0<\/span>A <\/span><\/span><\/code><\/pre><\/li> BP发包时双重URL编码绕过<\/li> <\/ol> 字符串逃逸与死亡绕过<\/h2> 利用原理<\/h3> 利用替换机制导致字符串长度计算错误<\/li> 例如将"flag"替换为"error"导致长度变化<\/li> 构造特定用户名实现字符逃逸： a<\/span>:<\/span>2<\/span>:<\/span>{s<\/span>:<\/span>8<\/span>:<\/span>"username"<\/span>;s<\/span>:<\/span>29<\/span>:<\/span>"admin"<\/span>;s<\/span>:<\/span>5<\/span>:<\/span>"admin"<\/span>;s<\/span>:<\/span>5<\/span>:<\/span>"admin"<\/span>;} <\/span><\/span><\/code><\/pre><\/li> <\/ol> WAF绕过技巧<\/h2> 常见方法<\/h3> 使用双引号包裹payload避免语法错误<\/li> 多行payload使用回显头验证执行<\/li> 绕过模块限制（如os模块）：使用__import__<\/code>动态导入<\/li> 通过子进程调用<\/li> <\/ul> <\/li> <\/ol> 提权方法<\/h2> 参考资源<\/h3> GTFOBins（https:\/\/gtfobins.github.io\/）<\/li> 利用系统工具如wc<\/code>进行提权<\/li> <\/ol> 以上总结了GHCTF比赛中Web方向的多种解题技巧和关键知识点，涵盖了文件上传、注入漏洞、反序列化、文件包含、协议利用等多个方面，提供了详细的利用方法和绕过技巧。<\/p>