CTF Web 各种题目的解题姿势
资源描述
本资源文件包含了CTF Web安全竞赛中各种题目的解题姿势,涵盖了注入类、代码执行与命令执行、文件上传与文件包含、SSRF、XXE、序列化与反序列化、Python基础以及SSTI模板注入等多个方面。每个章节都详细介绍了相关漏洞的原理、利用方法以及实际案例,帮助学习者深入理解并掌握CTF Web题目的解题技巧。
章节目录
第1章 注入类
- 课时1:SQL注入原理与利用
- 课时2:SQL注入宽字节原理与利用
- 课时3:SQL Union注入原理与利用
- 课时4:SQL注入布尔注入
- 课时5:报错注入原理与利用
- 课时6:CTF SQL基于约束注入原理与利用
- 课时7:SQL注入基于时间注入的原理与利用
- 课时8:SQL基于时间盲注的Python自动化解题
- 课时9:Sqlmap自动化注入工具介绍
- 课时10:Sqlmap自动化注入实验 - POST注入
- 课时11:SQL注入常用基础Trick
第2章 代码执行与命令执行
- 课时1:代码执行介绍
- 课时2:命令执行介绍
- 课时3:命令执行分类
- 课时4:命令执行技巧
- 课时5:长度限制的命令执行
- 课时6:无数字和字母命令执行
第3章 文件上传与文件包含
- 课时1:文件上传漏洞原理与简单实验
- 课时2:文件上传利用 - javascript客户端检查
- 课时3:文件上传利用 - MIME类型检查
- 课时4:文件上传利用 - 黑名单检查
- 课时5:白名单检查
- 课时6:Magic Header检查
- 课时7:竞争上传
- 课时8:简单利用
- 课时9:文件包含介绍 - 伪协议zip和phar利用
- 课时10:文件包含介绍-伪协议phpfilter利用
- 课时11:日志文件利用
- 课时12:日志文件利用session会话利用
第4章 SSRF
- 课时1:SSRF介绍与简单利用
- 课时2:SSRF限制绕过策略
- 课时3:SSRF中可以使用的协议分析
- 课时4:Linux基础知识
- 课时5:Redis未授权访问漏洞利用与防御
- 课时6:Redis未授权添加ssh密钥
第5章 XXE
- 课时1:XXE-XML基础必备
- 课时2:XXE XML盲注利用技巧
第6章 序列化与反序列化
- 课时1:序列化和反序列化介绍
- 课时2:PHP反序列化识别与利用
- 课时3:PHP序列化特殊点介绍
- 课时4:魔术方法
- 课时5:序列化漏洞案例 - 任意命令执行
- 课时6:Phar反序列化
第7章 Python基础
- 课时1:Requests模块安装与介绍
- 课时2:Python requests库 使用
- 课时3:XSS自动化检测
- 课时4:Python-SQL自动化检测
- 课时5:Python 源码泄露自动化挖掘
第8章 SSTI模板注入
- 课时1:Flask框架介绍与基础
- 课时2:RCE 文件读写
- 课时3:SSTI Trick技巧
使用说明
本资源文件适合CTF Web安全竞赛的参赛者、网络安全爱好者以及相关专业的学生使用。通过学习本资源,您将掌握CTF Web题目中常见的漏洞类型及其解题技巧,提升自己的实战能力。
贡献
如果您在使用过程中发现任何问题或有改进建议,欢迎提交Issue或Pull Request。
许可证
本资源文件遵循MIT许可证,您可以自由使用、修改和分发。