CTF基础
关注
分享
扫一扫
文章平均质量分 68
此专栏我会归纳一些我通过视频或者百度查找资料得到的基础知识
彬彬有礼am_03
这个作者很懒,什么都没留下…
展开
-
CTF-web基础
WEB应用的基本架构HTTP协议HTTP为Hyper Text Transfer Protocol(超文本传输协议)的缩写。它的发展为万维网协会(World Wid Web Consortium)和Internet工作小组IETF(Internet Engineering Task Force)合作的结果。HTTP协议(Hyper Text Transfer Protocol,超文本传输协议)用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以令浏览器更加高效,令网络传输减少。它不仅保证计算机原创 2021-08-23 15:09:09 · 177 阅读 · 0 评论 -
CTF-web文件上传漏洞
文件上传漏洞文件上传功能文件上传流程和上传攻击WebShell——网页木马文件以php语言创建一句木马:之间的gok为连接的木马将其放入phpstudy工具的网站根目录里,即网址为http://10.0.3.23/eval.php利用菜刀连接木马打开后,右键添加右键->文件管理,可以看到里面的信息还可以模拟端右键->数据库管理大马介绍一句话木马介绍一句话木马连接文件上传漏洞利用登录后,点击File Upload,上传前面制原创 2021-08-23 15:08:26 · 531 阅读 · 0 评论 -
CTF-sql注入
在phpstudy里#为注释密码随便输入的还可以输入admin’#(可注释掉)注意:有的不让输入特殊字符,因为可以绕过验证在URL处输入网址,在此工具里打开网页,可以点击右上方的扫描网址或者扫描URL点击后,弹出的信息右键,点击SQL INJECTION POC,在上方点击,可以获取它的web环境,数据库,命令执行,文件读取,文件上传等等在下方点击获取信息可得到更多信息,弹出Version,Server,OS,u...原创 2021-08-23 13:48:11 · 115 阅读 · 0 评论 -
CTF-Crypto密码学
由于内容过多,分两篇展示密码学01密码学概述密码学的发展密码编码学编码与加密?编码为一类映射的关系(一一映射)加密为一类算法(有算法(公开的),密钥(不可泄漏))明文 ------> 密文plain text cipher text对称密码和不对称密码算法对称密码算法优点:加密解密速度快缺点:密钥不能泄漏(除了AES,因为密钥很长,目前无机器能够在短时间内破解)对称密码算法常考DES非对称密码算法(Asymetric cipher):加密密钥和解密密钥原创 2021-08-23 13:31:47 · 1353 阅读 · 1 评论 -
CTF-MISC杂项题2
这篇博客接着CTF-MISC杂项题1继续讲03 压缩文件处理压缩文件分析伪加密一般考察zip与rar,现在不常考,因为现在压缩软件功能强大,自动可以识别伪加密框里的80的尾数为0即可解密,若改了值还报错,为真加密3.明文攻击明文攻击指知道加密的ZIP里部分文件的明文内容,利用这些内容推测出密钥并解密ZIP文件的攻击方法,相比于暴力破解,这类方法在破解密码较为复杂的压缩包时效率更高。采用场景:已知加密的zip部分文件明文内容例如:假设一个加密的压缩包里有两个文件readme.原创 2021-08-23 11:47:38 · 916 阅读 · 0 评论 -
CTF-MISC杂项题1
由于内容过多,分两篇展示杂项题基本解题攻略:内容:1.文件操作与隐写2.图片隐写术3.压缩文件处理4.流量取证技术文件操作与隐写file命令可识别文件类型file filejpgfile filegpngfile filegzip文件类型识别在Window,文件内容为十六进制类型的,可以winhex判断若不知道文件为什么类型,以010editor或者notepadqq编辑器打开,开头几个十六进制与相应的文件类型匹配即为相应的文件类型。这张图片在010editor编辑器打开的原创 2021-08-23 11:25:07 · 950 阅读 · 0 评论 -
CTF-杂项题-伪加密
手动分离压缩包注意:zip压缩包文件头格式为504B0304,之间包含504B0102,文件以504B0506****结尾,注意这类格式。zip伪加密zip伪加密是在文件头的加密标志位做修改,进而再打开文件时识被别为加密压缩包。但实际是没有密码的,所以使用任何密码都破解不了。一个 zip文件由三个部分组成:压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志当压缩源文件目录区的全局方位标记为0900(表示为加密),并且压缩文件数据区的全局方式位标记为0000(未加密)则会被识别为加密,但原创 2021-08-23 11:05:06 · 3490 阅读 · 0 评论 -
CTF备战
CTF-WEB条件:之间件的基础:Apache、IIS、Nginx、WebLogic、Tomcat等数据库的基础:Oracle、MySql、SqlServer等编程语言基础:PHP、Python、PythonWeb、Java、JavaWeb等安全漏洞基础:XSS、CSRF、SSRF、SQL注入、文件包含、URL跳转等安全手段基础:信息收集、暴力破解、端口转发等WAF绕过基础:安全狗、D盾等漏洞工具基础:Nmap、SqlMap、BurpSuite、Metasploit等代码审计基础:PHP代码原创 2021-08-23 10:57:39 · 337 阅读 · 0 评论 -
CTF基本赛制与题型
CTF简介CTF的全称为Capture The Flag,即夺旗赛。CTF竞赛活动蓬勃发展,已成为了锻炼信息安全技术,展现安全能力和水平的绝佳平台。CTF号称计算机界的奥林匹克。CTF目标:CTF参赛队伍的目标为获取尽可能多的flag。参赛队伍需要通过解决信息安全的技术问题来获取flag。flag可能来自于一台远端的服务器,一个复杂的软件,也可能隐藏在一段通过密码算法或者协议加密的数据,或一个网络流量及音频视频文件里。选手需要结合利用自己掌握的安全技术,并辅以快速掌握新知识,通过获取服务器权限,分原创 2021-08-23 10:50:22 · 5100 阅读 · 0 评论