关于CTF-web方向的一些总结回顾-cnblog

关于CTF-web方向的一些总结回顾

笔者在大二期间学习了web方向的一些知识以此篇博客来记录自己所学知识

本博客适合刚接触CTF尤其是web方向的小伙伴 来对web有个全面的了解

简言之

web就是对所给的网站使用各种方法找到漏洞 获取被隐藏起来的flag

flag可能在后端数据库内 也可能在前端 拿到flag即为胜利

  • SQL注入

  • 文件包含漏洞

  • 文件上传漏洞

  • RCE(远程代码执行)

  • php反序列化

    SQL

    SQL漏洞是web中最基础 最常见的漏洞

    现今的很多网站存在SQL漏洞

    SQL漏洞是后端代码与数据库交互时出现的漏洞

    比如以下代码

    SELECT * FROM users WHERE username='admin' AND passWord='123'

    这段代码的意思是 查询该表内 username=admin并且 password=123的项

    当我们登录一个网站时

    image-20251219132443601

    需要输入账号和密码

    加入你输入

    5927

    123456

    点击登录

    数据库就会执行

    SELECT * FROM users WHERE username='5927' AND passWord='123456'

    这肯定不能正确登录

    因为b站数据库内肯定没有这样的账号

    我们动一点歪心思

    如果我们输入账号和密码的时候不按套路输入会怎么样

    比如以下

    我们输入password是输入123456‘ or 1=1

    那么将执行以下代码

    SELECT * FROM users WHERE username='5927' AND passWord='123456‘ or 1=1'

    让我们能正确登录

    原理大致如此

posted @ 2025-12-19 13:41  席雨安  阅读(0)  评论(0)    收藏  举报