入门网络安全必备CTF题型介绍

已于 2024-06-15 10:17:15 修改
阅读量891 收藏 1
点赞数 1
文章标签: 网络 服务器 运维 系统安全 web安全 安全 github
于 2023-09-15 10:25:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75571291/article/details/132896327
版权

CTF 题目类型一般分为 Web 渗透、RE 逆向、Misc 杂项、PWN 二进制漏洞利用、Crypto 密码破译。

一、Web类题目
在传统的CTF线上比赛中,Web类题目是主要的题型之一,相较于二进制、逆向等类型的题目,参赛者不需掌握系统底层知识;相较于密码学、杂项问题,不需具特别强的编程能力,故入门较为容易。Web类题目常见的漏洞类型包括注入、XSS、文件包含、代码执行、上传、SSRF等。

信息搜集
前期的题目信息搜集可能对于解决CTF线上比赛的题目有着非常重要的作用

敏感目录泄露
通过敏感目录泄露,我们往往能获取网站的源代码和敏感的URL地址,如网站的后台地址等。

比如:

攻击者可以通过.git文件夹中的信息获取开发人员提交过的所有源码,进而可能导致服务器被攻击而沦陷。
admin之类的敏感后台文件夹
敏感备份文件
通过一些敏感的备份文件,我们往往能获得某一文件的源码,亦或网站的整体目录等。

比如:vim的备份文件

常规文件
比如:

robots.txt:记录一些目录和CMS版本信息。
readme.md:记录CMS版本信息,有的甚至有Github地址。
Banner识别
一个网站的Banner信息(服务器对外显示的一些基础信息)对解题有着十分重要的作用,选手往往可以通过Banner信息来获得解题思路,如得知网站是用ThinkPHP的Web框架编写时,我们可以尝试ThinkPHP框架的相关历史漏洞。

SQL注入
而由于开发者在程序编写过程中,对传入用户数据的过滤不严格,将可能存在的攻击载荷拼接到SQL查询语句中,再将这些查询语句传递给后端的数据库执行,从而引发实际执行的语句与预期功能不一致的情况。这种攻击被称为SQL注入攻击。

SQL注入漏洞也是现实场景下最常见的漏洞类型之一。

SQL注入,包括数字型注入、UNION注入、字符型注入、布尔盲注、时间注入、报错注入和堆叠注入等注入方式。

任意文件读取漏洞
所谓文件读取漏洞,就是攻击者通过一些手段可以读取服务器上开发者不允许读到的文件。

文件读取漏洞常常意味着被攻击者的服务器即将被攻击者彻底控制。

SSRF漏洞
SSRF(Server Side Request Forgery,服务端请求伪造)是一种攻击者通过构造数据进而伪造服务器端

最低0.47元/天 解锁文章
你别管我了
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
360网络安全课程CTF入门视频.zip
06-05
11-网络安全实验-永恒之蓝1.mp4 12-网络安全实验-永恒之蓝2.mp4 13-网络安全实验-永恒之蓝3.mp4 14-网络安全实验-永恒之蓝4.mp4 15-DVWA环境搭建-phpstudy使用方法.mp4 16-DVWA-文件上传漏洞基础.mp4 17-BurpSuite...
CTF中Web目的各种基础的思路-----入门篇十分的详细
m0_64815693的博客
09-13 2万+
想学习CTF-web这里给你一个思路,给你一个方向
网络安全CTF入门必备介绍
Y525698136的博客
03-03 8401
CTF 目类一般分为 Web 渗透、RE 逆向、Misc 杂项、PWN 二进制漏洞利用、Crypto 密码破译。
CTF比赛总结(小白必看)
最新发布
qq_53272273的博客
05-23 1239
它被设计为tcpdump 和其他使用 libpcap 库的软件使用的原始 PCAP格式的可扩展继承者.目前,只有 Wireshark 可以读取和写入 PCAPNG 文件,而 libpcap(以及使用它的软件)只能读取其中一些文件。:用16进制编辑工具更改图片的高度,会只显示图片的一部分,下面的部分就被隐藏了,可以先看看图片的属性,得到宽高值,找表示宽度和高度的位置的再转成16进制。特征:文由0和1构成,可能由空格、tab或则其他字符分割,去掉这些分割后,0和1的总数是5的倍数。
CTF入门学习(Web方向)
Shirongliang的博客
06-23 1917
CTF入门(攻防世界web)-1
CTF-Web小白入门篇超详细——了解CTF-Web基本及其解方法 总结——包含例的详细
热门推荐
日熙的博客
09-29 15万+
上次经过一次比赛的打击,决定不能只是一直盲目的刷基础,应该加快进度,从各种基本开始下手,每种都应该去找目刷一刷,并做好总结,于是乎决定写下这篇文章。之后会边做边更新,欢迎各位大佬指教。 本文目录基础知识类目总结:具体包括:HTTP头相关的目Git源码泄露Python爬虫信息处理PHP代码审计(重要!!!)XSS目绕过wafSQL注入 基础知识类目 总结: 1.是最基本...
[NISACTF 2022]middlerce
m0_70819573的博客
03-08 461
preg_match过滤了换行符和异或符号,所以考虑利用preg_match本身回身回溯超过1000000会返回false绕过。1.eval的执行逻辑和create_function或有相似之处,绕过方式几乎一样。2.很显然需要做fuzz测试。1.打开环境,审计代码。
CTF比赛网络安全竞赛渗透测试入门资料
06-30
CTF比赛 网络安全竞赛 渗透测试 入门资料
网络安全攻防大赛ctf
03-09
网络安全攻防大赛CTF(Capture The Flag)是一种流行的竞赛形式,旨在提升参赛者的网络安全技能,包括漏洞挖掘、密码学、取证分析、网络嗅探等多个领域。这类比赛通常分为多个环节,如逆向工程、Web安全、密码学、二...
网络安全 CTF 入门.pdf
07-09
网络安全 CTF 入门
CTF网络安全大赛工具包集合
12-21
针对网络安全大赛的部分方向所需要的工具的集合
CTF—WEB基础篇
Innocence_0的博客
03-15 1798
简介JavaScript 是互联网上最流行的脚本语言,这门语言可用于 HTML 和 web,更可广泛用于服务器、PC、笔记本电脑、平板电脑和智能手机等设备。作用JavaScript 是脚本语言JavaScript 是一种轻量级的编程语言。JavaScript 是可插入 HTML 页面的编程代码。JavaScript 插入 HTML 页面后,可由所有的现代浏览器执行。JavaScript 很容易学习。
网络安全CTF入门教程(非常详细)从零基础入门到进阶,看这一篇就够了!
Python栈
12-18 1212
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式。CTF入门最近很多朋友在后台私信我,问应该怎么入门CTF。个人认为入门CTF之前大家应该先了解到底什么是CTF,而你学CTF的目的又到底是什么;其次便是最好具备相应的编程能力,若是完全不具备这些能力极有可能直接被劝退。
CTF之web安全
weixin_45722313的博客
04-02 9739
web安全 CSRF 简介 CSRF,全名 Cross Site Request Forgery,跨站请求伪造。很容易将它与 XSS 混淆,对于 CSRF,其两个关键点是跨站点的请求与请求的伪造,由于目标站无 token 或 referer 防御,导致用户的敏感操作的每一个参数都可以被攻击者获知,攻击者即可以伪造一个完全一样的请求以用户的身份达到恶意目的。 CSRF 类 按请求类,可分为 GE...
CTF比赛中web安全讲解
白帽子凯哥聊黑客
12-11 2059
CTF(Capture The Flag)竞赛中,Web安全目是测试参赛者对Web应用漏洞利用和防御能力的重要环节。
网络安全CTF】BUUCTF(Basic篇)
信安是不可或缺的一部分!
05-11 6196
参考之前写的:https://blog.csdn.net/qq_39583774/article/details/120722112?此详解可以看:https://blog.csdn.net/weixin_43965597/article/details/126381171。admin 加密码登陆注意这里不是md5加密,开始看错了,解半天没解出发现是明文存储的,无语。使用其他方式,发现这里不对,上传一个phpinfo发现能够执行,但是执行的jpg格式。
CTF常见
citytwilight的博客
07-17 3355
CTF常见 CTF比赛通常包含的目类有七种,包括MISC、PPC、CRYPTO、PWN、REVERSE、WEB、STEGA。 1.MISC(Miscellaneous)类,即安全杂项,目或涉及流量分析、电子取证、人肉搜索、数据分析等等。 2.PPC(Professionally Program Coder)类,即编程类目,目涉及到编程算法,相比ACM较为容易。 3.CRYPTO(Cryptography)类,即密码学,目考察各种加解密技术,包括古典加密技术、现代加密技术甚至出者自创加
CFS内网渗透三层内网漫游靶场-2019某CTF案例
weixin_60329395的博客
07-26 2424
CFS三层内网漫游-2019某CTF案例
网络渗透——CTF实践
Woolemon的博客
12-10 2515
这里写目录标实验目的实验原理什么是CTFCTF竞赛模式CTF各大简介实验步骤和内容发现目标 (netdiscover),找到WebDeveloper的IP地址查看目标主机端口开放、服务情况(NMAP扫描)利用浏览器访问目标网站whatweb探测目标网站使用的CMS模板wpscan功能Dirb 爆破网站目录Wireshark分析该数据包,分析TCP数据流利用上一步得到的信息进入网站后台利用该CMS存在的(插件Plugin)漏洞进行提权其他方案SSH登录服务器实验总结 实验目的 通过对目标靶机的渗透过程,
CTF网络安全大赛培训
09-02
CTF网络安全大赛培训主要面向学生、零安全基础、新手、测试转安全、开发转安全、运维转安全、安服转安全以及对网络安全比较感兴趣的同学。这种培训通常涵盖了一系列的目类,包括Web渗透、RE逆向、Misc杂项、PWN二进制漏洞利用、Crypto密码破译等等。通过参加这样的大赛培训,学生可以通过赛项检验网络组建、安全架构和网络安全运维管控等方面的技术技能,同时也能够培养团队协作和创新能力,提升职业能力和就业竞争力。这种大赛培训通过引领专业教学,为学生提供了实践动手的机会,让他们能够在实践中学习并应用所学的知识和技能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [零基础+进阶系统化渗透测试工程师+CTF网络安全大赛学习指南](https://blog.csdn.net/fengzheng126/article/details/118439238)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [入门网络安全必备CTF介绍](https://blog.csdn.net/Hack0812/article/details/128070882)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [网络信息安全-培训(中高职业院校)](https://download.csdn.net/download/qq_48609816/87316302)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值