几天CTF后做个小总结

最新推荐文章于 2022-12-14 21:26:14 发布
最新推荐文章于 2022-12-14 21:26:14 发布
阅读量242 收藏 1
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DonkeyMoon/article/details/105438374
版权

作为一个入门小白,做了两天基础题之后,总结了一下做题思路和知识点(只限于基础。)

1、先看URL,有没有有用的信息,有时候有效信息会经过编码之后存在url中,要注意url中的文件,我现在接触的一般都是index.php啥的,很基础。可能会有文件包含,或者能通过url中的文件获得php代码。
2、看页面呈现给我们的内容,如果是代码审计类题目,那就看php代码什么意思,但是大多数时候并不容易获取到php代码。
3、如果页面没有有效信息,果断查看源代码,看是否有有效信息,一定要注意在源代码中的注释,一些注释往往题目的突破点。
4、如果还没有头绪,那就用burp抓个包看看,首先要看一下请求包,再看看响应,很多有效信息都存在响应中。burp是个好东西,哈哈哈哈。
5、很多题目都需要写个脚本,我觉得这对于我来说是最难的地方,编程能力有限。。

这几天遇到的知识点

php://filter: 我只在做题的时候用到,看了一篇文章,用到的地方还挺多。文章地址:添加链接描述
php://filter/read=convert.base64-encode/resource=文件 在题目中用到的。大体意思就是读取base64编码之后的index.php文件。
在这里插入图片描述
备份文件的后缀一般是.bak 或者 .swp,原谅我现在才知道。
还有一些sql注入的知识点,之前我用sqli-libs练习过,相对来说比较熟悉,所以一些简单的sql注入还能应对。
HTTP请求头中的X-Forworded-For:可以伪装IP,(X-Forworded-For:127.0.0.1 伪装成本地IP)看了一些大佬写的文章,好苦涩,等以后奇怪的知识增加之后再回来总结吧
在这里插入图片描述md5加密,会用到一些加密前不相同,加密后相同的字符。存在0e开头md5哈希字符串缺陷。
在这里插入图片描述正则匹配也很重要,学php的时候看了一下,但还需要继续深造。
还有要写脚本,我太菜了,只能从网上找大佬们写的,努力学python去了,以前学的皮毛感觉写脚本有点困难,停留在看个差不多阶段,看懂也很困难。。
就想起来这么多,over!

DonkeyMoon
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf每日练习-第二天
想变得强大,虽然现在还弱不禁风
08-29 132
今天返校,坐了半天车,太累了,就了一道题。 upload1 题目链接 很明显是文件上传漏洞 Array.prototype.contains = function (obj) { var i = this.length; while (i--) { if (this[i] === obj) { return true; } } return false; } functi
对于CTF的了解以及往后的学习方向
QF_NU_XBL的博客
10-17 1037
对于CTF的了解以及往后的学习方向 CTF是一种流行的信息安全竞赛形式,用英文来说就是Capture The Flag,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。CTF竞赛模式具体分为以下三类:一、解题模式二、攻防模式三、混合模式 在网络安全领域中它则指的是网络安全技术人员之间进行技术
南邮杯CTF 文件包含漏洞实战
永远是少年
12-14 859
今天继续给大家介绍CTF刷题,本文主要内容是南邮杯CTF 文件包含漏洞实战。 一、题目简介 二、解题思路 三、解题实战
南京邮电大学2021年CTF
戴夫特
03-15 955
web登入页面1 <?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS); mysql_select_db(SAE_MYSQL_DB); $user = trim($_POST[user]); $pass = md5(trim($_POST[pass])); $sql
信息安全web入门——南邮ctf解题
sevenlob的博客
01-15 1633
南京邮电大学ctf——web 签到题 查看源码 鼠标右键查看源码或ctrl+u md5 collision 题目给出源码 <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { ec...
CTF隐写详细总结,自带ctf工具集
11-30
CTF隐写详细总结,自带ctf工具集。 0、图片隐写 1、音频隐写 波形隐写 频谱隐写 LSB隐写 2、视频隐写 3、Base64隐写 4、Python代码隐写 5、Pdf隐写 6、Office文档隐写 7、Ntfs数据流隐写
CTF常见密码总结.docx
04-10
ctf解题中总结的一些实用的密码(编码方式),非常适合刚入坑的新手参考学习。比如常见的栅栏密码,摩斯电码,还有一些不常见的比如培根密码等等等等,非常全面!!!
CTF,ISCC各个隐写总结
08-29
这篇总结将深入探讨CTF和ISCC比赛中的隐写术知识。 首先,我们要理解隐写术的基本原理。隐写术通过改变载体文件(如图像的像素值、音频的采样点或视频的帧)的微小部分来嵌入秘密信息。常见的隐写方法有LSB(Least ...
几个ctf 逆向题
07-31
ctf比赛碰到几个逆向题,挺有意思,拷下来研究研究。ctf 逆向 隐写
CTF精华总结
12-22
CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 ...
CTF 入门指导教程
12-04
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。
南邮ctf-题解(停止更新)
reigns的博客
08-17 7198
由于专业名字叫网络空间安全,所以感觉不学点安全知识对不起专业名= =,本人大学四年完全没有接触过信息安全知识,发现本科母校有个网络安全训练平台,就开始练练手,ctf入门训练吧。 南京邮电大学网络攻防训练平台:http://ctf.nuptzj.cn/challenges# &gt;_签到题: 就是直接查看网页源代码。 &lt;html&gt; &lt;title&gt;key...
CTF Web burpsuite之暴力破解
weixin_43982276的博客
10-07 642
CTF Web burpsuite之暴力破解 burpsuite是一个应用很广的黑客工具 功能也还不错 适合初学者 首先要设置代理 找到proxy里面的option属性 查看默认端口 一般为127.0.0.1:8080 设置浏览器端口与burpsuite一致 找到一个用户名密码在截获之后都为明码的网站(安全属性较低) 随意输入用户名和密码 具体如下 ...
从零开始学习CTF——CTF是什么
热门推荐
洛柒尘的博客
06-03 5万+
前言: 从2019年10月开始接触CTF,学习了sql注入、文件包含等web知识点,但都是只知道知识点却实用不上,后来在刷CTF题才发现知识点的使用方法,知道在哪里使用,哪里容易出漏洞,可是在挖src漏洞中还是很迷漫,学了快一年还是没挖过一条src漏洞。这一系列是把自己学习的CTF的过程详细写出来,方便大家学习时可以参考。 一、CTF简介 简介 中文一般译作夺旗赛(对大部分新手也可以叫签到赛),在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式 CTF起源于1996年DEFCON全球黑客
CTF竞赛所需要的能力
不管风雨有多少丶的博客
10-20 1927
CTF中试题主要包括以下几类: MISC:取证分析 内网安全 之类 PPC&CRYPTO:事件分析与解决方案 密码学原理应用 PWN:后门分析 移动终端 REVERSE:逆向工程类 WEB:网络攻防 由此可知你需要具备以下能力: Web漏洞与渗透(Web) 操作系统和网站应用服务器安全, 网站多种语言源代码阅读分析(特别是php和java), 数据库管理和SQL语句查询, W...
ctf
tao546377318的博客
08-26 2343
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为
CTF入门指南
baikeng3674的博客
02-05 5626
转自http://www.cnblogs.com/christychang/p/6032532.html ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web密码学pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据reverse 逆向windows...
南邮ctf题解--逆向第一道Hello,RE!
Air_cat的博客
04-02 2139
题目链接:http://ctf.nuptzj.cn/challenges# 先总结一下,南邮的题横向对比一下真的是简单(第一次自己出来的题,泪目)。下载了源程序之后,题目都明示了用ida,那就用ida呗 可以看到printf的那部分地下是一大堆字符串,很明显flag就在这里,不过是用ascii码的形式而已,接下来有两种方法,一个是照着这个翻译(比较蠢),另一个就是利...
CTF如何入门
Sandra_93的博客
09-25 5117
不知道从哪里找来的 ,可能是知乎吧,放在这里。 感谢编辑内容的大佬,此为转载。 最近有些人问关于ctf怎么入门的问题,大家先不要急着一步登天,也不要把ctf想的很复杂,其实入门还是很简单的,然后就是不断的自学阅读并坚持下来(各种书籍与大牛的博客,网站,wp),还有就是我再说下关于不同方向怎么入门的问题: web: 1:先去大概了解一下html,php和sql的相关知识,熟悉一下语言。推荐W3c...
举出几个ctf万能密码的例子
最新发布
10-27
CTF比赛中,常常会出现摩斯电码的加密题目。 3. 培根密码:这是一种将明文中的字母转换为一组数字和空格的编码方式。在CTF比赛中,常常会出现培根密码的加密题目。 4. base64编码:这是一种将二进制数据转换为可...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值