Chiranth-Janardhan-moger/SQLGuard-Bypass-CTF

GitHub: Chiranth-Janardhan-moger/SQLGuard-Bypass-CTF

一个故意存在 SQL 注入漏洞并带有自定义 WAF 防护的 Node.js 靶场应用,供安全学习者练习 WAF 绕过与 SQL 注入技术。

Stars: 1 | Forks: 0

# SQLGuard Bypass CTF 🚩 [![License: ISC](https://img.shields.io/badge/License-ISC-blue.svg)](https://opensource.org/licenses/ISC) [![欢迎 PR](https://img.shields.io/badge/PRs-welcome-brightgreen.svg)](http://makeapullrequest.com) 欢迎来到 **SQLGuard Bypass Capture The Flag (CTF)** 挑战!本项目是一个刻意设计存在漏洞的 Web 应用程序,使用 Express.js 和 SQLite 构建,并由一个名为 `sqlguardjs` 的 Web 应用程序防火墙 (WAF) 进行防护。你的目标是绕过 WAF 并从数据库中提取隐藏的 flag。 ## 🎯 挑战 该应用程序有两个主要存在 SQL 注入漏洞的 endpoint: 1. **登录 Endpoint**:身份验证绕过。 2. **搜索 Endpoint**:数据提取。 这两个 endpoint 都受到 `sqlguardjs` 的主动监控和过滤。你的目标是找到一个 payload,既能成功利用 SQL 漏洞,又不会触发 WAF 的拦截阈值。 ### 🏆 目标 提取位于 `flags` 表中的秘密 flag。 ## 🚀 开始使用 ### 前置条件 - [Node.js](https://nodejs.org/)(建议 v14 或更高版本) - npm(随 Node.js 一起提供) ### 安装说明 1. 克隆仓库: git clone https://github.com/your-username/SQLGuard-Bypass-CTF.git cd SQLGuard-Bypass-CTF 2. 安装依赖: npm install 3. 启动服务器: npm start *注意:服务器默认运行在 `4040` 端口。* 4. 在浏览器中访问该应用程序: [http://localhost:4040](http://localhost:4040) ## 🛠️ 技术栈 - **后端**:Node.js, Express.js - **数据库**:SQLite3 (内存模式) - **安全 / WAF**:`sqlguardjs` - **前端**:HTML, CSS, JavaScript (原生) ## ⚠️ 免责声明 **警告:** 本应用程序故意设计为存在漏洞,并包含严重的安全缺陷。请**勿**将此代码部署在生产环境或面向公众的服务器上。它仅供教育目的和本地安全测试使用。 ## 🏷️ 标签 `ctf` `cybersecurity` `sql-injection` `nodejs` `security-challenge` `expressjs` `vulnerable-app` `sqlguardjs` `waf-bypass` `penetration-testing` *祝黑客愉快!让我们看看你能否绕过守卫。* 🛡️解锁
标签:CISA项目, GNU通用公共许可证, MITM代理, Node.js, OPA, WAF绕过, Web安全, 多模态安全, 数据可视化, 自定义脚本, 蓝队分析, 靶场