渗透攻击零基础学习-初识CTF(非常详细)零基础入门到精通,收藏这一篇就够了

最新推荐文章于 2024-04-19 10:31:01 发布
最新推荐文章于 2024-04-19 10:31:01 发布
阅读量307 收藏 8
点赞数 4
分类专栏: 网络安全 计算机 互联网 文章标签: 学习 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Python_0011/article/details/136038010
版权
网络安全 同时被 3 个专栏收录
351 篇文章 23 订阅
订阅专栏
计算机
322 篇文章 8 订阅
订阅专栏
互联网
271 篇文章 4 订阅
订阅专栏 
   前面的时间,通过渗透测试实例,带大家了解了黑客在实际生活中是怎样进行攻击的,以及涉及到相关的知识点,后续的时间将通过CTF夺旗锦标赛的题目,带大家了解黑客所用知识点。当然这些只是基础,但所有高级的攻防都是通过基础的技术演变组合,最终成为高级攻防技术,所以特此安排此系列教学,希望帮助到正在学习的你们。

    CTF介绍:CTF(Capture The Flag,夺旗赛)在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。当然CTF比赛的奖金也很高。![](https://mmbiz.qpic.cn/mmbiz_png/zXjksDBUibvOBJfPMBxdVsHkuHy0cTB5xJk1B9QKF3N9tapkKickc9hbJcmsdAljGU936zVIuOSV9hic3eF9PbzfQ/640?wx_fmt=png)

CTF既然是夺旗赛,那么肯定有个flag在里面,比如这张图,下面有个靶机,靶机里面藏着flag,你就要使用各种方法去得到这个flag并提交拿到分数。

CTF比赛类别

比赛主要有以下类别

  • 解题模式 - Jeopardy

  • 攻防模式 - Attack & Defense

  • 混合模式 - Mix

解题模式

常见于线上选拔比赛。在解题模式 CTF 赛制中,参赛队伍可以通过互联网或者现场网络参与,参赛队伍通过与在线环境交互或文件离线分析,解决网络安全技术挑战获取相应分值,类似于 ACM 编程竞赛、信息学奥林匹克赛,根据总分和时间来进行排名。

不同的是这个解题模式一般会设置 一血 、 二血 、 三血 ,也即最先完成的前三支队伍会获得额外分值,所以这不仅是对首先解出题目的队伍的分值鼓励,也是一种团队能力的间接体现。

题目大致分为以下类型

  • Web 网络攻防

  • RE 逆向工程

  • Pwn 二进制漏洞利用

  • Crypto 密码攻击

  • Misc 安全杂项

攻防模式

攻防模式常见于线下决赛。在攻防模式中,初始时刻,所有参赛队伍拥有相同的系统环境(包含若干服务,可能位于不同的机器上),常称为 gamebox,参赛队伍挖掘网络服务漏洞并攻击对手服务获取 flag 来得分,修补自身服务漏洞进行防御从而防止扣分(一般来说防御只能避免丢分,当然有的比赛在防御上可以得分)。

一般比赛的具体环境会在开赛前一天或者当天开赛前半小时由比赛主办方给出(是一份几页的小文档)。在这一段时间内,你需要根据主办方提供的文档熟悉环境并做好防御。

攻防模式主要是攻和防守,下面的图片展示了一些比赛要做的事情。

混合模式

结合了解题模式与攻防模式的CTF赛制,比如参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。

    后续的大部分时间,我们是通过解题模式进行教学,每篇文章的末尾,会给出第二天的题目,第二天针对前面题目进行讲解,并讲解攻击思路与攻击知识点,还是一句话,希望能够帮助到正在学习的你们。今天就啰嗦到这了,拜了个拜。

为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

程序员_大白
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全】CTF入门教程(非常详细)从零基础入门到进阶,看这一篇就够了!
程序员若风的博客
12-11 3188
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。
网络渗透CTF实践:获取靶机Web Developer 文件/root/flag.txt中flag
yellowO的博客
12-27 3934
实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。(Dirb 是一个专门用于爆破目录的工具,在 Kali 中默认已经安装,类似工具还有国外的patator,dirsearch,DirBuster, 国内的御剑)截图。利用该插件可能存在的漏洞。pwd查看当前所在的目录,cd切换到/var/www/html目录下,ls查看当前目录下的内容,找到wp-config.php文件。
CTF之Web渗透
最新发布
qq_63613566的博客
04-19 851
SQL注入(SQL Injection)是一种代码注入技术,攻击者通过在应用程序的输入字段中插入(或“注入”)恶意的SQL代码,从而欺骗应用程序的后端数据库服务器执行非授权的任意SQL命令。当开发者希望代码更灵活,将被包含的文件设置为变量,通过动态变量来引入需要包含的文件时,如果服务器端未对变量值进行合理地校验或者校验被绕过,就可能导致文件包含漏洞。文件包含是程序开发中的一项常用技术,它允许开发者将重复使用的函数或代码片段写入单个文件中,然后在需要的地方直接引用这个文件,而不是重复编写相同的代码。
渗透测试CTF-图片隐写的详细教程(干货)
保持微笑的博客
11-02 6599
图片隐写详细教程
CTF模式
haoshangguan的博客
10-12 1470
CTF竞赛模式具体分为以下几类: 正文 理论知识 理论题多见于国内比赛,通常为选择题。包含单选及多选,选手需要根据自己所学的相关理论知识进行作答。最终得出分数。理论部分通常多见于初赛或是初赛之前的海选 Jeopardy-解题 参赛队伍可以通过互联网或者现场网络参与,参数队伍通过与在线环境交互或文件离线分析,解决网络安全技术挑战获取相应分值,类似于 ACM 编程竞赛、信息学奥林匹克赛,根据总分和时间来进行排名。 不同的是这个解题模式一般会设置 一血(First Blood) 、 二血(Second Blood
CTF综合靶机渗透
xv66666的博客
08-11 971
虚拟机难度中等,使用ubuntu(32位),其他软件包有:PHPapacheMySQLBoot to root:从Web应用程序进入虚拟机,并获得root权限。靶机:使用VMWare打开虚机,网络连接方式设置为net,靶机自动获取IP。攻击机:同网段下有Windows攻击机,安装有Nmap、Burpsuit、Sqlmap、nc、Python2.7、DirBuster、AWVS、Nessus等渗透工具,kali攻击机,主要用Windows攻击机完成实验。ip发现启动Billu_b0x虚拟机,由于虚机网络设置为
1-CTF解题技能之MISC基础 一
10-05
1-CTF解题技能之MISC基础 一
【转】CTF-All-In-One(CTF入门到放弃)pdf
03-20
CTF-All-In-One(CTF入门到放弃) ——“与其相信谣言,不如一直学习。”
【推荐】最新超全的渗透测试学习基础教程集合(84份).zip
08-04
最新超全的渗透测试学习基础教程集合,新手、大佬都可以阅读: 01.入门笔记之看雪Web安全学习及异或解密示例; 02.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记; 03.Burp Suite工具安装配置、Proxy基础用法...
65.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。前文学习:[网络
CTF入门到提升(一).docx
12-18
CTF入门到提升(一) CTF(Capture The Flag)是一种网络安全竞赛的形式,起源于西方传统运动,两军互相争夺旗帜,夺取敌军旗帜代表战败。在信息安全领域,CTF是通过各种攻击手法,获取服务器后寻找指定的字段,...
CTF实践 靶机渗透
Radiency的博客
11-23 1431
CTF实践。通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围
网络攻防之CTF
qq_42824259的博客
11-13 1188
XCTF之网鼎杯(双色块) 这是第一次写CSDN文章,平时主要是以学习别人的文章为主,作为一个编程和ctf入门选手,水平肯定比较一般,写出来的目的就是加深自己的记忆,同时能够给别人提供一个不一样的思路吧(大佬除外)!废话不多说,现在开始。 给的图片是一个动态图片,咋一看,除了颜色变换外,看不出任何的思路,只有老规矩,notpad++打开,ctrl+f 搜索 ng,看到这个, 看到了熟悉的Png图片头,那直接放kali里面,用foremost -T分离出来, 分离的结果就是一张写着key的图,也不知道有什
啥是CTF?新手如何入门CTF
热门推荐
MachineGunJoe666
08-18 3万+
CTF是啥 CTF 是 Capture The Flag 的简称,中文咱们叫夺旗赛,其本意是西方的一种传统运动。在比赛上两军会互相争夺旗帜,当有一方的旗帜已被敌军夺取,就代表了那一方的战败。在信息安全领域的 CTF 是说,通过各种攻击手法,获取服务器后寻找指定的字段,或者文件中某一个固定格式的字段,这个字段叫做 flag,其形式一般为 flag{xxxxxxxx},提交到裁判机就可以得分。 信息安全的 CTF 的历史可以说很长了,最早起源于 96 年的 DEFCON 全球黑客大会 为啥要参加CTF 入门渗.
网络渗透测试实验四
wow_iamfree的博客
12-07 437
文章目录一、实验目的二、实验准备与内容三、实验过程1.netdiscover发现WebDeveloper的ip2.nmap扫描目标开发端口3.访问目标网站4.whatweb探测CMS模板5.WPScan工具简介6.Dirb网站目录爆破7.通过爆出的路径找到cap文件8.利用WordPress插件漏洞找到目标配置文件9.远程连接目标10.使用tcpdump执行任意命令 一、实验目的 通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能
CTF渗透测试【浅谈渗透测试之信息收集】
Sp4rkW的博客
01-27 9863
前言 从一个ctf选手到一个渗透测试工程师,第一步需要改变的就是学习信息收集。渗透测试不是比赛,不会有提示,不会有查看源代码内藏提示等等,甚至你不可以使用扫描器(比如ctf中常见的AWVS),sqlmap等等。 工作中,一般进行的都是黑盒测试,你得考虑到厂商虽然授权允许你进行测试,但是你不可以使用dos,社工(一般这样就算getshell厂商也不认),不可以对厂商正常的运营造成破
渗透学习-CTF篇-web-ctfhub
qq_43696276的博客
09-29 1484
随着学习的不断深入,为了防止自己忘记之前所学的内容,于是我决定再不断的向下学习的同时做一些ctf的题来唤醒自己的记忆!!
vulnhub靶场渗透学习-JIS-CTF
博闻强记,慎思笃行
04-17 3848
实验环境 攻击机:KALI 目标机:JIS-CTF 使用Vmware虚拟机中NAT网络 网段为192.168.1.0/24 解题过程 基本信息探测 netdiscover -r 192.168.1.0.24 可以看到靶机地址是192.168.1.132 nmap -A 192.168.1.132 可以看到靶机开放了两个端口 22 和80 对...
网络渗透实验四 CTF实践
qq_40525803的博客
12-05 571
网络渗透实验四 CTF实践 实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取等相关工具的使用。 系统环境:Kali Linux 2、WebDeveloper靶机来源:https://www.vulnhub.com/ 实验工具:不限 实验原理: 1、什么是CTF CTF(Capture The Flag)中文一般译
详细说一下零基础学习网络安全的方式和具体内容
05-21
学习网络安全需要掌握的知识点非常广泛,涉及到网络基础知识、操作系统、编程语言、加密技术、安全漏洞、攻击与防御等多个方面。以下是一些零基础学习网络安全的方式和具体内容: 1. 学习网络基础知识:了解网络的基本概念、协议、拓扑结构、网络设备等,掌握网络通信的原理和常见的攻击方式。 2. 学习操作系统和编程语言:网络安全涉及到操作系统和编程语言方面的知识,建议学习Linux系统和Python编程语言。 3. 学习加密技术:学习加密技术是网络安全的基础,了解加密算法、数字证书、SSL/TLS等知识,能够帮助学习者理解网络通信的安全机制。 4. 学习安全漏洞:了解常见的安全漏洞类型,例如SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造等,以及如何通过代码审计和渗透测试等手段发现和修复漏洞。 5. 学习攻击与防御:学习网络攻击的方法和手段,例如DDoS攻击、社会工程学攻击等,以及如何进行安全防御,例如防火墙、入侵检测系统等。 6. 利用在线资源:网络上有很多免费的学习资源和工具,例如网上的教程、博客、论坛、CTF比赛等,学习者可以利用这些资源来提高自己的技能和实践能力。 总之,学习网络安全需要持续不断地学习和实践,通过不断地积累和实践,才能提高自己的技能和实践能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值