新手也能懂!从BUUCTF Web题入门CTF:手把手带你复现5个经典SQL注入与文件包含漏洞

CTFWeb安全SQL注入
于 2026-05-28 12:46:25 修改
·本内容遵循CC 4.0 BY-SA版权协议

从零玩转BUUCTF:5个经典Web漏洞实战指南

刚接触CTF的新手常被各种术语和技巧绕晕,尤其是Web安全方向。本文将以BUUCTF平台为战场,用5道典型题目带你理解SQL注入与文件包含漏洞的核心原理。不同于直接给出答案的"Writeup",我们将从漏洞成因、测试思路到绕过技巧层层拆解,让你真正掌握"黑客思维"。

1. SQL注入漏洞入门:从万能密码到联合查询

SQL注入的本质是通过用户输入篡改数据库查询逻辑。以[极客大挑战 2019]EasySQL为例,当登录框的输入直接被拼接到SQL语句时:

SQL
SELECT * FROM users WHERE username='[输入1]' AND password='[输入2]'

构造1'or'1'='1作为用户名,实际执行的查询变为:

SQL
SELECT * FROM users WHERE username='1'or'1'='1' AND password='xxx'

由于'1'='1'恒为真,整个WHERE条件永远成立,这就是"万能密码"的原理。进阶的[极客大挑战 2019]LoveSQL则需要联合查询:

SQL
1' UNION SELECT 1,2,database()#

关键技巧

  • #-- 注释掉原查询剩余部分
  • information_schema数据库存储所有表结构信息
  • group_concat()合并多行结果避免数据截断

注意:实际测试中应先确定字段数,避免因UNION两侧列数不一致报错

2. 文件包含漏洞:PHP伪协议的妙用

[ACTF2020 新生赛]Include展示了经典的本地文件包含(LFI)。当发现URL参数如?file=flag.php时,可以尝试:

TEXT
/?file=php://filter/read=convert.base64-encode/resource=flag.php

这个Payload的工作原理:

  1. php://filter是PHP的流过滤器
  2. convert.base64-encode对文件内容进行编码
  3. 避免直接包含php文件导致代码执行
  4. 解码后获得原始文件内容

常见过滤器组合

过滤器类型 作用 适用场景
convert.base64-encode Base64编码 读取PHP源码
string.rot13 ROT13加密 简单编码绕过
zlib.deflate 压缩数据 处理大文件

3. 命令注入的花式绕过

[ACTF2020 新生赛]Exec这类题目要求突破过滤执行系统命令。当直接输入127.0.0.1 && cat /flag被拦截时,可尝试:

BASH
# 空格绕过
cat${IFS}flag.txt
cat$IFS$9flag.txt
 
# 重定向符号
cat<flag.txt
cat<>flag.txt
 
# 内联执行
cat `ls`

过滤规则与绕过对照表

被过滤字符 替代方案 原理
空格 ${IFS}, <, > 特殊变量/重定向
竖线 %0a, %0d 换行符
关键词 反引号, 变量替换 语法多样性

4. 堆叠注入:一箭双雕的技巧

[SUCTF 2019]EasySQL展示了堆叠注入(stacked injection)的威力。通过分号分隔,一次性执行多条SQL语句:

SQL
1; SHOW DATABASES;
1; SHOW TABLES;
1; SELECT * FROM Flag;

与普通注入的区别在于:

  • 常规注入只能修改原查询的逻辑
  • 堆叠注入可以执行任意新语句
  • 需要后端使用支持多语句的数据库驱动

实战提示:MySQL的mysqli_multi_query()函数容易引发此类漏洞

5. 综合实战:从信息收集到漏洞利用

完整的安全测试应遵循以下流程:

  1. 信息收集

    • 查看网页源代码
    • 检查HTTP响应头
    • 目录扫描

  2. 漏洞探测

    • 尝试常见Payload
    • 观察错误回显
    • 测试过滤规则

  3. 漏洞利用

    • 定制化绕过方案
    • 多步骤组合攻击
    • 权限提升

  4. 后渗透

    • 数据提取
    • 维持访问
    • 痕迹清理

以[极客大挑战 2019]Secret File为例,完整攻击链包括:

  • 发现Archive_room.php隐藏路径
  • 抓包找到secr3t.php
  • 分析过滤规则(屏蔽../, tp等)
  • 使用php://filter绕过限制
  • Base64解码获取flag

最后记住,CTF不是单纯比谁先找到flag,而是培养系统化的安全思维。建议每个题目做到:

  • 记录所有测试Payload
  • 分析后端可能的代码逻辑
  • 总结防护方案
BUUCTF在线测评[源码]
本文详细记录了在BUUCTF在线测评平台上的多个CTF挑战解题过程,涵盖了多种Web安全漏洞类型,包括文件包含SQL注入、文件上传、XXE漏洞、反序列化、模板注入等。文章通过具体的PHP和Pytho
秃然暴富
8
BUUCTF Web题解[源码]
本文档涉及对BUUCTF平台上多个Web相关题目进行解析,涵盖了从简单到复杂的多个实际案例,讲解了包括但不限于SQL注入、源代码分析、文件包含漏洞利用以及命令注入绕过过滤等技巧。
咖啡因依赖
4
BUUCTF web通关2.0[源码]
BUUCTFweb通关2.0[源码]中,作者详细记录了解题过程,涉及到多种CTF类型的题目。这些题目包括但不限于SQL注入绕过、文件上传漏洞利用、模板注入以及弱口令爆破等。
2
BUU SQL注入题解[项目代码]
在本文中,作者详细地介绍了在BUUCTF-Basic平台中完成SQL注入挑战的过程。
1
渗透工程师靶场汇总[可运行源码]
类似地,sql-libs和upload-labs等靶场同样为学习者提供了针对SQL注入、文件上传安全等特定技能的训练环境。CTF类靶场则以夺旗赛形式为网络安全爱好者提供竞技练习的平台。
烧烤摊在逃五花肉
3
分享以刷题入门CTF省内赛 一等/二等的计划(buuctf)
该博客制定了四周的网络安全学习计划。第一周基础入门,熟悉常见题型工具;第二周专项突破,强化PWN和Web实战能力;第三周高强度冲刺,聚焦中高分主题;第四周冲刺实战模拟,挑战高分并巩固错题,提升比赛节奏感。
0l1in
1074
BUUCTF网鼎杯2018 Unfinish1:从注册页面到SQL注入的完整解题脚本分享
本文深入剖析BUUCTF网鼎杯2018 Unfinish1题,聚焦注册功能引发的二次SQL注入漏洞。通过环境侦察定位注册页为入口,结合单引号、注释符等测试确认过滤机制;推演并验证'注册存储+登录后动态查询'构成的二次注入链;详述基于ASCII盲注的Payload构造(如ORD(SUBSTR((SELECT flag FROM flags),1,1)))、自动化Python脚本开发要点(requests+BeautifulSoup)、防误处理及解析策略;强调Web安全中输入校验缺失上下文隔离不足的风险。
716
CTF Web安全入门精讲吃透SQL注入\+XSS\+文件上传,搞定一半竞赛分值
本文系统讲解CTF竞赛中占比最高的Web安全三大核心漏洞:SQL注入(原理、万能密码、union查询)、XSS跨站脚本(反射型/存储型、基础payload)、文件上传漏洞(后缀绕过、Burp抓包改包)。强调靶场实操(SQLi-Labs、DVWA)解题思维训练,助力零基础选手掌握80%入门Web题型。
千·寻
495
【2025最新版网络安全】CTF入门教程(非常详细)从零基础入门到进阶,看这一篇就够了
本文是CTF入门教程,介绍了CTF起源、竞赛模式、题型,推荐了DVWA等漏洞靶场。还分享CTF学习资源,如BUUCTF等赛题复现平台、DEF CON CTF等赛事资讯。此外,给出2025网络安全学习路线,涵盖基础入门到项目实战,还提供技术文档、视频教程等资料。
码农x马马
1748
CTF入门教程(非常详细)从零基础入门到竞赛,看这一篇就够了
本文介绍了CTF竞赛,包括其起源、竞赛模式和题型。提供了CTF学习路线,初期学习前端、后端、数据库等知识,中期掌握SQL注入漏洞,后期多参赛、看博客。还列举了CTF学习资源,如赛题复现平台、赛事资讯等。此外,给出了网络安全零基础学习路线和企业级学习路线。
程序员羊羊
1065
【网络安全】CTF入门教程(非常详细)从零基础入门到进阶,看这一篇就够了
本文介绍了CTF竞赛,包括其起源、入门要点、竞赛模式和题型。还推荐了漏洞靶场,如DVWA、Sqli - Labs等。同时分享了CTF学习资源,涵盖赛题复现平台、赛事资讯、博客论坛。最后提供了网络安全学习资源,有路线图、视频教程、技术文档等。
网安这样学
1156
新人必看盘点知名CTF练习靶场,从零基础入门到精通,收藏这一篇就够了
本文盘点了多个知名CTF练习平台,包括看雪CTF、Bugku、CTFshow、BUUCTF和攻防世界XCTF,涵盖Web安全、Pwn、逆向等领域。同时提供了从零开始的网络安全学习路线,涉及渗透测试、操作系统、网络协议、数据库及脚本编程等内容,适合初学者系统化入门
鸡腿爱学习
1204
网络安全ctf比赛/学习资源整理,解题工具、比赛时间、解题思路、实战靶场推荐收藏
本文为想学习或参加CTF比赛的朋友分享资源。介绍了CTF在线工具网站,如CTF在线工具箱等;i春秋和XCTF社区常发布赛事;还列举了在线靶场如BugKu、北京联合大学BUUCTF等,以及可搭建的靶场如SQLI - LABS、DVWA等。
杰克瑟
2194
BUUCTFWeb题里,我总结出新手最常踩的3个PHP安全坑(附真实WriteUp复盘)
本文基于BUUCTF真实CTF题目,深入剖析PHP开发中新手最易触碰的三大Web安全漏洞:SQL注入(源于未参数化查询错误信息泄露)、文件上传漏洞(黑名单失效及缺乏文件头校验)、代码执行漏洞(WAF绕过危险函数滥用)。同时提出对应纵深防御方案,包括PDO预处理、白名单上传控制、php.ini函数禁用及最小权限配置。
weixin_30328063
437
全网最全 CTF 练习靶场盘点专为新人打造,从零基础起步到精通实战,收藏这篇就够了
本文盘点了多个适合新人的CTF在线练习平台,包括看雪CTF、Bugku、CTFshow、BUUCTF和攻防世界XCTF,涵盖Web、Pwn、逆向、密码学等方向。同时提供从零开始的学习路线,涉及渗透测试、网络协议、数据库安全及Python编程等内容,助力快速入门网络安全。
网安干货叔
714
BUUCTF[Web 1](SQL注入1
夜思红尘
590
新手必看BUUCTF的[极客大挑战]入门SQL注入与代码审计(附PHPStudy环境搭建)
本文围绕BUUCTF‘极客大挑战’系列题目,详细讲解SQL注入原理(数字型/字符型区分、万能密码构造)及PHP环境下代码审计方法(HTML注释分析、输入点追踪)。涵盖PHPStudy本地靶场搭建(Apache+MySQL+PHP配置)、常见故障排查,并强调预处理语句、类型校验等核心防护机制,聚焦Web安全攻防实践安全开发思维培养。
马力在知群
237
CTF 入门保姆级教程从零开始学 CTF,看完这篇直接打比赛
本文系统介绍CTF竞赛的基本概念、三大赛制(解题、攻防、混合)及主流题型(Web、PWN、REVERSE、CRYPTO、MISC、STEGA、PPC)。详细规划分阶段学习路径初期夯实HTML/CSS/JS、PHP/Apache、MySQL、Python和BurpSuite基础;中期聚焦SQL注入、文件上传及其他Web漏洞原理实操;后期强调赛事实践Writeup复盘。配套推荐BUUCTF、CTFHub等平台及权威书籍资源。
Web小甜甜
434
2025版最新WEB安全入门指南,零基础入门到精通,收藏这篇就够了
本文是Web安全入门指南,介绍了CTF、BugHunter、RedTeam三大流派。CTF有解题、AWD等模式,需掌握编程和漏洞知识;BugHunter要具备网络、系统和工具基础;RedTeam模拟攻击评估系统安全。还分享学习方法,如目标驱动、复盘等,并提供学习资源包。
黑客大白
1122
【2025最新最全】网络安全ctf比赛/学习资源整理(超详细)看这一篇就够了
本文为想学习或参加CTF比赛的朋友分享资源。介绍了CTF在线工具、赛事平台,还列举了在线靶场和可搭建靶场。此外,提供网络安全入门/进阶学习资料,包括思维导图、工具包、分析报告等,给出学习大纲、教程和面试刷建议,资料可扫码或点击链接领取。
程序员-老K
2514
BUUCTF-WEB详细解题攻略第一页(按解出数降序排序)
本文系统梳理BUUCTF平台中数十道典型Web安全CTF题目,涵盖SQL注入(报错/联合/堆叠/盲注)、文件包含(php://filter、路径截断)、命令注入、PHP反序列化、文件上传(.htaccess/.user.ini绕过)、SSRF、Java Web源码泄露等核心漏洞类型。每道均提供可复现的Payload、绕过原理(如WAF过滤规则、MySQL特性、PHP魔术方法机制)及关键调试技巧(Burp抓包、源码审计、Base64解码),聚焦实战攻防技术细节。
持敬chijing
1518
2026最强CTF入门指南从零基础到参赛夺冠,刷题与赛事全攻略(建议收藏)
本文系统梳理CTF竞赛五大核心方向(Web、Pwn、Reverse、Crypto、Misc),详解各方向关键技术点、学习路径及典型工具;提供阶梯式刷路线(新手村→历练场→角斗场)和实战备赛策略,涵盖环境搭建、组队配置、赛时战术复盘方法,聚焦网络安全实战能力培养。
网络安全小林
604
网络安全ctf比赛/学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!_ctf练习网站
本文分享了CTF资源,包括在线工具、赛事信息和各类靶场。在线工具涵盖编码、加解密等功能;赛事有i春秋和XCTF社区发布的。靶场分在线和自建两种。此外,还介绍了网络安全入门学习路径,含大纲、教程和面试刷,资料可扫码或点击链接领取。
网络安全k哥
1486
保姆级CTF入门教程零基础你从萌新走向竞赛(附学习路线)
本文系统介绍CTF竞赛的基本概念、三大主流赛制(解题、攻防、混合)及七大核心题型(WEB、PWN、REVERSE、CRYPTO、MISC、PPC、STEGA)。重点梳理零基础学习路径初期夯实HTML/CSS/JS、PHP/Apache、MySQL、Python及BurpSuite工具;中期聚焦SQL注入、文件上传及其他Web漏洞(RCE、XSS、CSRF等);后期强调实战参赛Writeup复盘。配套推荐BUUCTF、CTFHub等复现平台及先知社区、看雪论坛等学习资源。
网络安全-水水
345
CTF必看】从零开始的CTF学习路线(超详细),让你从小白进阶成大神
本文详细介绍CTF竞赛的基本概念、题型分类及学习路径,涵盖MISC、WEB、PWN、REVERSE等核心方向,并推荐DVWA、Sqli-Labs等实用漏洞靶场。同时提供了CTFHub、BUUCTF复现平台和赛事资讯资源,帮助初学者系统化掌握网络安全技能。
白帽胡子哥
949