CTF Web 各种题目的解题姿势

CTF Web 各种题目的解题姿势

【下载地址】CTFWeb各种题目的解题姿势 本资源文件包含了CTF Web安全竞赛中各种题目的解题姿势，涵盖了注入类、代码执行与命令执行、文件上传与文件包含、SSRF、XXE、序列化与反序列化、Python基础以及SSTI模板注入等多个方面。每个章节都详细介绍了相关漏洞的原理、利用方法以及实际案例，帮助学习者深入理解并掌握CTF Web题目的解题技巧 项目地址: https://gitcode.com/Open-source-documentation-tutorial/b1306

资源描述

本资源文件包含了CTF Web安全竞赛中各种题目的解题姿势，涵盖了注入类、代码执行与命令执行、文件上传与文件包含、SSRF、XXE、序列化与反序列化、Python基础以及SSTI模板注入等多个方面。每个章节都详细介绍了相关漏洞的原理、利用方法以及实际案例，帮助学习者深入理解并掌握CTF Web题目的解题技巧。

章节目录

第1章 注入类

• 课时1：SQL注入原理与利用
• 课时2：SQL注入宽字节原理与利用
• 课时3：SQL Union注入原理与利用
• 课时4：SQL注入布尔注入
• 课时5：报错注入原理与利用
• 课时6：CTF SQL基于约束注入原理与利用
• 课时7：SQL注入基于时间注入的原理与利用
• 课时8：SQL基于时间盲注的Python自动化解题
• 课时9：Sqlmap自动化注入工具介绍
• 课时10：Sqlmap自动化注入实验 - POST注入
• 课时11：SQL注入常用基础Trick

第2章 代码执行与命令执行

• 课时1：代码执行介绍
• 课时2：命令执行介绍
• 课时3：命令执行分类
• 课时4：命令执行技巧
• 课时5：长度限制的命令执行
• 课时6：无数字和字母命令执行

第3章 文件上传与文件包含

• 课时1：文件上传漏洞原理与简单实验
• 课时2：文件上传利用 - javascript客户端检查
• 课时3：文件上传利用 - MIME类型检查
• 课时4：文件上传利用 - 黑名单检查
• 课时5：白名单检查
• 课时6：Magic Header检查
• 课时7：竞争上传
• 课时8：简单利用
• 课时9：文件包含介绍 - 伪协议zip和phar利用
• 课时10：文件包含介绍-伪协议phpfilter利用
• 课时11：日志文件利用
• 课时12：日志文件利用session会话利用

第4章 SSRF

• 课时1：SSRF介绍与简单利用
• 课时2：SSRF限制绕过策略
• 课时3：SSRF中可以使用的协议分析
• 课时4：Linux基础知识
• 课时5：Redis未授权访问漏洞利用与防御
• 课时6：Redis未授权添加ssh密钥

第5章 XXE

• 课时1：XXE-XML基础必备
• 课时2：XXE XML盲注利用技巧

第6章 序列化与反序列化

• 课时1：序列化和反序列化介绍
• 课时2：PHP反序列化识别与利用
• 课时3：PHP序列化特殊点介绍
• 课时4：魔术方法
• 课时5：序列化漏洞案例 - 任意命令执行
• 课时6：Phar反序列化

第7章 Python基础

• 课时1：Requests模块安装与介绍
• 课时2：Python requests库 使用
• 课时3：XSS自动化检测
• 课时4：Python-SQL自动化检测
• 课时5：Python 源码泄露自动化挖掘

第8章 SSTI模板注入

• 课时1：Flask框架介绍与基础
• 课时2：RCE 文件读写
• 课时3：SSTI Trick技巧

使用说明

本资源文件适合CTF Web安全竞赛的参赛者、网络安全爱好者以及相关专业的学生使用。通过学习本资源，您将掌握CTF Web题目中常见的漏洞类型及其解题技巧，提升自己的实战能力。

贡献

如果您在使用过程中发现任何问题或有改进建议，欢迎提交Issue或Pull Request。

许可证

本资源文件遵循MIT许可证，您可以自由使用、修改和分发。

【下载地址】CTFWeb各种题目的解题姿势 本资源文件包含了CTF Web安全竞赛中各种题目的解题姿势，涵盖了注入类、代码执行与命令执行、文件上传与文件包含、SSRF、XXE、序列化与反序列化、Python基础以及SSTI模板注入等多个方面。每个章节都详细介绍了相关漏洞的原理、利用方法以及实际案例，帮助学习者深入理解并掌握CTF Web题目的解题技巧 项目地址: https://gitcode.com/Open-source-documentation-tutorial/b1306