ZZHow Blog

BUUCTF是一个CTF竞赛训练平台，提供各类真实赛题在线复现服务。本文整理了多个赛事的解题记录，包含命令注入、SQL注入、文件包含和文件上传等常见漏洞类型，如[GXYCTF2019]Ping Ping Ping、[强网杯2019]随便注等典型题目，每道题均附详细题解链接。这些内容适合CTF选手学习参考，帮助提升不同漏洞类型的实战能力。写于2023/11/28

文章摘要：本文通过[ACTF2020 新生赛]Include 1题目，演示了文件包含漏洞的利用过程。当发现URL参数file=flag.php时，使用php://filter伪协议读取base64编码的源码，解码后成功获取包含flag的PHP文件内容。解题关键步骤包括：观察URL变化、使用伪协议读取源码、base64解码。写于2023/11/14

摘要 本文通过实战演示了文件包含漏洞的利用过程。以"[极客大挑战 2019]Havefun 1"题目为例，首先观察网页界面发现隐藏的HTML注释，其中包含关键代码逻辑：当GET参数cat值为'dog'时会输出flag。通过构造URL传参/?cat=dog成功获取到Syc{cat_cat_cat_cat}的flag。整个过程展示了如何通过代码审计和参数构造来利用简单的文件包含漏洞。写于2023/11/14

摘要 本文演示了SQL注入攻击的基本原理和实操过程。通过靶机登录界面测试，在密码字段添加单引号发现SQL报错漏洞，确认存在注入点。随后构造万能密码password' or '1'='1进行注入，利用逻辑或运算绕过验证，最终成功获取管理员权限并获取flag。整个过程展示了SQL字符型注入的典型攻击手法，揭示了Web应用未对用户输入进行过滤的安全隐患。写于2023/11/14

本文介绍了命令注入攻击的基本原理及实战演示。通过分析[ACTF2020新生赛]Exec题目，展示了如何利用命令注入漏洞获取系统权限：首先在Ping功能中注入"127.0.0.1 ; ls"命令查看目录，然后使用"cd ../../../ ; ls"遍历目录寻找flag文件，最后通过多种命令(cat/nl/more等)读取flag内容。写于2023/11/15

本文介绍了命令注入(Command Injection)的漏洞利用方法，以[GXYCTF2019]Ping Ping Ping题目为例。通过观察题目界面发现GET方法存在ip参数，尝试用分号连接命令实现注入。在成功执行ls命令发现flag.php后，尝试绕过空格检测（使用$IFS$9）和关键词过滤（使用环境变量拼接）。最终通过开发者工具查看页面源码找到被注释的flag。文章详细展示了命令注入的测试过程和绕过技巧。写于2023/11/15

本文详细介绍了SQL注入攻击的原理和实战操作步骤。通过一个名为"[强网杯2019]随便注"的靶场题目，演示了完整的SQL注入攻击流程：首先判断注入点类型（字符型注入），使用order by确定字段数；当传统注入方法被过滤时，采用堆叠注入技术，通过show databases/tables和desc命令获取数据库信息；最终利用预编译语句绕过关键字过滤，成功获取flag。写于2023/11/28

摘要 本文详细记录了[SUCTF 2019]EasySQL 1题目的解题过程。通过分析题目界面和尝试基本注入方法，发现传统SQL注入被过滤。转而使用堆叠注入技术，成功获取数据库和表名（发现Flag表）。推测后端查询逻辑为"select 输入||flag from Flag"，最终通过两种方法获取flag：1)输入"*,1"构造查询语句；2)修改sql_mode将||转为字符串连接。写于2023/11/28

《DVWA渗透测试实战指南》是一篇涵盖DVWA靶场十大漏洞模块的完整通关攻略。文章详细介绍了从暴力破解、SQL注入到XSS跨站攻击等OWASP TOP10漏洞的实战演练方法，每个模块都包含四个难度级别（Low到Impossible）。针对偶现的Impossible级别无法调整问题，提供了清除浏览器数据的解决方案。同时附有基于Kali Linux的Docker环境搭建教程，帮助读者快速部署自己的DVWA靶场。写于2023/11/09

摘要：本文演示了反射型XSS攻击的实现过程。攻击者通过在URL中植入<script>alert(1)</script>恶意代码，当用户访问该链接时，代码被传输到浏览器执行，成功触发弹窗。实验以Low安全级别为目标，先观察正常输入后URL变化，再插入XSS代码验证漏洞存在，最终实现攻击效果。该案例展示了未做有效防护时XSS攻击的简易性。写于2023/11/10

本文详细介绍了针对Low级别SQL注入漏洞的完整攻击流程。首先通过观察URL变化判断注入点，使用单引号测试确认字符型注入漏洞。随后通过order by判断字段数，利用union select确定回显位。进而依次获取数据库版本、当前库名、表名和字段信息，最终成功获取用户表中的账号密码数据。整个过程展示了从注入点发现到数据窃取的完整攻击链，揭示了未防护SQL注入漏洞的巨大危害。写于2023/11/10

摘要：本文演示了通过文件上传漏洞实现服务器入侵的两种方式。基础攻击通过上传包含phpinfo()的1.php文件获取服务器信息；进阶攻击使用包含eval函数的2.php木马文件，成功连接AntSword中国蚁剑实现远程控制。实验展示了未防护文件上传功能的危险性，攻击者可轻松获取服务器权限。整个过程包括木马文件准备、上传、访问及远程连接等关键步骤，揭示了Web应用安全中文件上传防护的重要性。写于2023/11/10

本文演示了Low级文件包含漏洞的利用方法。通过观察URL参数变化，发现网站直接使用$_GET['page']获取文件路径且未做防护。攻击者可通过修改page参数，使用相对路径../../hackable/flags/fi.php或绝对路径/var/www/html/hackable/flags/fi.php来访问系统敏感文件。该漏洞源于未对文件路径进行校验，导致任意文件读取风险。实验证明，这种简单的文件包含方式可成功访问服务器上的非公开文件，存在严重安全隐患。写于2023/11/10

本文演示了Low级CSRF漏洞的利用过程，通过分析修改密码的URL参数构造恶意请求。首先记录正常修改密码的URL变化（包含password_new和password_conf参数），然后直接伪造包含新密码参数的URL实现密码篡改（如将密码改为789），最终出现"Password Changed"提示证实攻击成功。文章强调操作后需恢复原密码，揭示了未防护CSRF漏洞可直接通过URL参数伪造请求的风险。写于2023/11/10

摘要 本文介绍了最基本的命令注入攻击方式（Low级防护）。攻击者通过在IP地址输入框中插入命令连接符（如分号、&&等），成功执行了附加的ls命令并获取文件列表。文章展示了攻击截图，并列举了其他可利用的命令连接符，包括分号(;)、逻辑与(&&)、后台执行(&)、逻辑或(||)和管道符(|)。这种攻击在缺乏基本输入验证的系统上极易实现，揭示了基础安全防护的重要性。写于2023/11/10

本文介绍了使用Burp Suite进行密码爆破的实操步骤。以Low级防护为例，首先通过代理工具将流量导入Burp Suite，抓取登录请求后发送至Intruder模块。在Positions标签中标记密码参数，加载字典后启动攻击。通过分析返回数据的Length差异和响应内容，成功爆破出密码为"password"。整个过程展示了基本的暴力破解方法，适用于防护薄弱的系统。写于2023/11/10

本文介绍了在Kali Linux系统中安装Docker并搭建DVWA靶场环境的完整步骤。首先通过root用户更新系统并安装Docker，验证安装成功后，从Docker Hub下载DVWA镜像。随后启动DVWA容器并映射端口9001，最后在浏览器中访问DVWA靶场，使用默认账号（admin/password）登录成功。文章还纠正了不需要安装docker-compose的误区，并提供了本地和远程访问DVWA的IP配置方法。写于2023/10/25

这篇笔记总结了Vim编辑器的常用操作技巧，主要内容包括：1) 使用H/J/K/L移动光标；2)插入模式与字符删除操作；3)删除命令(d+motion)及撤销操作；4)粘贴(y/p)、拷贝(y)和替换(r/R)命令；5)实用小技巧如文件跳转、括号匹配等；6)搜索替换命令；7)其他高级功能如执行shell命令、多文件操作等。笔记详细记录了各种命令组合和快捷键，特别适合Vim初学者快速掌握基本操作，内容源自bilibili小甲鱼的Vim教学视频。

CTF（夺旗赛）是一种网络安全竞赛形式，参赛者通过获取指定格式的flag（如flag{xxx}）得分。比赛分为线上解题和线下攻防模式（AWD），涉及Web、逆向等方向。Web类题目考察SQL注入、XSS等漏洞利用技术，涉及HTTP协议、前后端漏洞（如XSS、CSRF、文件上传、SSRF等）。常用工具包括HackBar（测试Payload）、蚁剑（可视化木马）、Burp Suite（抓包）、nmap（网络扫描）和Sqlmap（自动化SQL注入）。写于2023/10/02