攻防世界 Web 题解（七）：SQL 注入、文件上传与命令执行

表名如下。

23' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema="news" #

根据表名查询列名。

23' union select 1,group_concat(column_name),3 from information_schema.columns where table_name="secret_table" #

成功拿到 flag。

23' union select 1,fl4g,3 from secret_table #

二：upload1

发现有提示框提示需要上传图片，说明是前端验证。

关闭提示框后，直接上传一张 php 文件即可。

使用蚁剑连接即可成功拿到 flag。

三：Xff_referer

打开页面提示 IP 必须为 123.123.123.123，需伪造 IP 头即 X-Forwarded-For 字段。

使用 Burp Suite 抓包。

输入 X-Forwarded-For:123.123.123.123 进行伪造

发送后又提示来源为 google，来源字段是 Referer。

伪造 Referer 字段。

四：Command_execution

打开页面为 ping 功能，先随便 ping 一下查看能否查看其他数据。

Ping 127.0.0.1 发现可以，填写 payload：127.0.0.1 | ls。

成功执行 ls，说明没有任何过滤。接下来查找 flag。

执行 127.0.0.1 |find / -name "fl*"。

发现文件如下。

成功拿到 flag。

五：总结

1. Newscenter（SQL 注入）

考察点

• SQL 注入漏洞：未对用户输入进行过滤，允许通过注入获取数据库信息。
• 联合查询（UNION 注入）：通过构造联合查询语句获取敏感数据。

解题思路

1. 探测注入点：在搜索框输入单引号 '，观察是否存在报错。
2. 判断字段数：使用 ORDER BY 确定查询字段数（如 ' ORDER BY 3--）。
3. 联合查询注入：
   • 构造 Payload：' UNION SELECT 1,2,database()-- 获取数据库名。
   • 继续查询表名（如 information_schema.tables）、列名，最终读取 flag 字段。

关键技术

• 报错注入或布尔盲注（根据回显情况选择）。
• 利用 information_schema 数据库获取元数据。

防御建议

• 使用预编译语句（Prepared Statements）。
• 对输入进行严格的字符过滤和转义。

2. upload1（文件上传漏洞）

考察点

• 文件上传绕过：绕过前端和后端对文件类型、内容的检测。
• Webshell 利用：上传马获取服务器权限。

解题思路

1. 绕过前端验证：修改文件扩展名为 .php，并抓包修改 Content-Type 为 image/jpeg。
2. 绕过后端检测：使用图片马（在图片中嵌入 PHP 代码），或利用 .htaccess 文件设置解析规则（如 AddType application/x-httpd-php .jpg）。
3. 访问上传文件：通过上传路径访问 Webshell，执行系统命令获取 flag。

关键技术

• 双写扩展名绕过（如 up.php.phtml）。
• 利用服务器解析漏洞（如 Apache 解析漏洞 test.php.xxx）。

防御建议

• 限制上传文件类型，使用白名单机制。
• 重命名上传文件，避免直接执行。

3. Xff_referer（HTTP 头伪造）

考察点

• HTTP 头伪造：伪造 X-Forwarded-For（XFF）和 Referer 头绕过访问控制。
• 本地访问限制：服务器仅允许特定来源或本地 IP 访问。

解题思路

1. 伪造 XFF 头：使用 Burp Suite 拦截请求，添加 X-Forwarded-For: 127.0.0.1 伪装本地 IP。
2. 伪造 Referer 头：修改 Referer 为题目指定域名（如 http://www.google.com）通过验证。

关键技术

• 工具：Burp Suite/Postman 修改请求头。
• 理解 HTTP 头在访问控制中的作用。

防御建议

• 避免依赖客户端可控的字段（如 XFF、Referer）做权限验证。
• 使用服务器端会话机制管理权限。

4. Command_execution（命令注入）

考察点

• 命令注入漏洞：未过滤用户输入直接拼接系统命令。
• 绕过过滤技巧：绕过空格、关键词黑名单等限制。

解题思路

1. 探测注入点：输入 127.0.0.1; ls 尝试执行命令。
2. 绕过过滤：
   • 空格绕过：使用 ${IFS} 或 %09（Tab 的 URL 编码）。
   • 关键词绕过：用 ca\t 或 base64 编码命令（如 echo "Y2F0IGZsYWc=" | base64 -d | bash）。
3. 读取 flag：通过 cat 或 tac 命令读取 flag 文件。

关键技术

• 命令分隔符：;、&、|、||。
• 通配符绕过：cat fla*。

防御建议

• 使用安全的 API（如 subprocess 模块）替代直接执行命令。
• 严格校验输入，禁止特殊字符。