CTF筆記【一】
阿新 • • 發佈:2018-10-29
提交 一次 指正 ctf 網線 漏洞 工具 大小 會有 最近公司組織了一次為期兩個小時的CTF培訓,主要是講一些思路。雖然沒什麽幹貨,不過積累總是好的。
* 做題邏輯:
根據分值來判斷題目難易程度,在有限時間裏可以舍棄認為有坑或者做不出的題目,如果隊伍中某個人有信心能夠做出最高分的題,可以給他足夠多的時間先做分值高的題,畢竟高分題拉分,分值低的題到後面不會浪費很多時間,但是如果比賽規定第一名做出的人有加分,那肯定先搶低分題。
* 準備工具:
掃描器(CTF需要的是足夠多的信息收集,出題人不會讓你花很長時間掃描,可能在題目中會有提示,掃描以小型掃描器為主,一個人使用大型掃描器),burpsuite,sqlmap,菜刀,python。
* 一些思路: 1. 查看源碼,在CTF裏面是最重要的方式之一,是基礎 2. HTTP協議 3. HTTP頭修改,包括IP地址,瀏覽器信息(有時候題目只允許使用某瀏覽器)來源 4. sqlmap的tamper要了解,一般比賽waf關鍵字不會很難,常規繞過,輸入關鍵字符select等,可以大小寫轉換,url編碼,能用盲註的肯定可以用報錯註入,報錯註入的payload可以在網上先記下來。 5. robots.txt文件 6. 掃描不要占用很長時間 7. 可以多帶一個電腦,插線板,網線 8. 一般CTF用古典型加密,帶一個識別密文的工具 9. 返回包的響應頭可能有提示信息 10. burp裏面提交某數據,可以是get,post或者在頭部字段 11. php審計,php大部分是函數漏洞 12. 關註最新漏洞
大概就是醬紫,還木有實踐過,不能保證都是正確的,有問題歡迎指正~~~
最近也報名了某ctf比賽,先試試水。
另外要是有什麽好的學習ctf的網站或者資料歡迎分享哇ο(=?ω<=)ρ⌒☆
CTF筆記【一】