【转】一个4年CTF入门者自述:曾经掉过的坑与干货总结

最新推荐文章于 2024-08-01 20:00:00 发布
最新推荐文章于 2024-08-01 20:00:00 发布
阅读量4.1k 收藏 152
点赞数 4
分类专栏: CTF

转载自 https://zhuanlan.zhihu.com/p/21685384?utm_source=qq&utm_medium=social&utm_oi=791204951979339776

一个巧合的机会,成为了CTF夺旗爱好者,一个ctf小白。从12年开始国内大大小小的CTF比赛我都看过,那会还没有统一叫CTF,都是叫 网络攻防赛、信息安全赛之类的,目的就是为了通过技术手段找到最终的key(现在的CTF中叫做flag)。只是到了后来慢慢的可能受到DEFCON CTF的影响国内所有的安全竞赛也统一叫做CTF竞赛了。

国内外比较知名的比赛:XCTF联赛、DEFCON CTF、

做为CTF小白用户,这四年跳过的坑真心不少。尤其是加密、隐写、逆向破解和web这几个方向的坑,基本是跳一个栽一个。

不过还是靠着:实验吧、决斗场等免费的线上模拟平台,终于成功脱坑,技术也越来越熟练。

在这四年的学习中,我总结了一些值得CTF新手和CTF刚刚入门爱好者,学习的干货。

一、首先推荐:常去的【学习交流站点】

实验吧/www.shiyanbar.com/questions/干货论坛

CTF领域指南 | IDF实验室 博译有道
百度信息安全吧
CTFtime.org / All about CTF (Capture The Flag) 各种CTF赛事预告

XCTFtime 国内CTF联赛查询网站
Modern Binary Exploitation bin 干货区
吾爱破解2016安全挑战赛 『2016安全挑战赛』

360CTF训练营
除了线上练习,看大牛们出的那些难解的题目,练手之外,加一些ctf的群(384182116)(222359598),和别的朋友交流解题思路与经验,也是必不可少的,能让自己对CTF的解题思路更加广泛。

二、常去的一些ctf的【线上练习平台】

ctf夺旗训练_CTF训练营 实验吧的决斗场
网络安全实验室 网络信息安全攻防学习平台
index of / ctf题目
梦之光芒/Monyer——Monyer's Little Game 梦之光芒的小游戏
XCTF_OJ竞赛平台 XCTF_OJ练习平台
黑客游戏 Let's Hack 习科黑客游戏
Jlu.CTF首页 Jlu.CTF
白帽学院 白帽学院ctf挑战赛
IDF实验室 CTF训练营 idf 实验室
欢迎参加比赛~ 米安网ctf
合天网安实验室-CTF挑战赛 合天ctf
黑吧安全网-红客闯关游戏 黑吧安全网-红客闯关游戏
202.108.211.5/ 实训竞赛系统


三、其他相关,挖洞人员【漏洞平台】

exploit-db.com

wooyun.org

www.sebug.org

butian.360.cn/

sobug.com/
exploit-id.com/
cve.mitre.org/
securiteam.com/
securityvulns.com/
securityvulns.ru/
securityfocus.com/
marc.info/?
securitytracker.com/
经常去漏洞平台,可以让你随时了解国内外那些漏洞大事件。也可以尝试着提交一些漏洞,既锻炼技术还有额外奖励。

四、常用【在线类工具】

objectif-securite.ch/ 在线LMHASH破解
hashkiller.co.uk/ hash破解
github.com/ 全球知名在线管理开发平台
http://astalavista.box.sk 最好的注册码、注册机、序列号搜索引擎
s0ftpj.org/ 意大利老站
recover-weblogic-password.appspot.com 在线weblogic密文破解
tools88.com/safe/vnc.ph 在线VNC密文破vpnhunter.com/ 在线查找VPN,mail接口
http://mailinator.com 一次性邮箱
yopmail.com/zh/ 一次性邮箱

五、国内外安全大牛的【个人博客】
http://www.insecure.org (Fyoderr的个人站点,即Nmap的老家)  
guninski.com/ 安全专家Guninski的主页,有大量系统漏洞工具具及源代码   
blog.gentilkiwi.com/ mimikatz
schneier.com/ Bruce,Schneier的博客(专业Blackhat会棍)
an7isec.blogspot.co.il/ "整蛊小黑必备" 博客 发现了WVS8版本远程溢出漏洞
fail0verflow.com/blog/i 一个硬件牛的BLOG
blog.0x80.org/ 破解过jeep车锁的大牛
netspi.com/blog 对MSSQL渗透有研究的大牛
http://hakin9.org
websec.ca/blog 渗透tips
derkeiler.com/
xssed.com/
adsecurity.org/ 内网渗透、域渗透牛人
http://securityxploded.com
devttys0.com/blog/ 国外路由器安全大牛

这些国内外大牛的个人博客,是一定要关注的,不管想当职业赛棍,还是仅仅是对ctf感兴趣,从中学些安全技术,这些是最宝贵的经验。

六、最后给大家推荐一些【综合类型网站】

blackhat.com/

shiyanbar.com(线上资源大部分免费,经常性的举办各种有奖活动)
http://packetstormsecurity.com (有大量exploit程序)
ussrback.com/ 比较活跃的安全站
attrition.org/ 内容全面的安全站  (更新至2013年)
social-engineer.org/ 社会工程学研究所
https://www.soldierx.com
windowsecurity.com/(windowsnetworking.com)包含论坛、博客、新闻、工具windowsnetworking.com
http://www.blackmoreops.com
http://www.securitytube.net 大量视频

knaha
关注
专栏目录
2023最全CTF入门指南(建议收藏)
m0_74131821的博客
05-23 2666
零基础入门CTF必看
【愚公系列】202403月 《CTF实战:从入门到提升》 010-Web安全入门(PHP代码执行漏洞)
热门推荐
时光隧道
03-28 5万+
PHP代码执行漏洞是一种常见的安全漏洞,也被称为远程代码执行(Remote Code Execution,RCE)漏洞。这种漏洞的发生通常是由于程序员在编写代码时未正确过滤用户输入,导致用户能够将恶意代码插入到应用程序中,然后被解释器执行。攻击者可以利用这种漏洞执行任意代码,从而获取系统权限、窃取数据或者对系统进行进一步的攻击。未过滤用户输入:开发者在使用用户输入时必须进行严格的输入验证和过滤,避免直接将用户输入作为代码执行。eval() 和 exec() 函数。
CTF
dianzhao6995的博客
09-24 140
这周在学习kali linux工具的同时入了CTF,觉得其中的密码学很有趣 找了许多试题练习,主要来自CTF论坛、南邮、实验吧三个练习平台。 分享一些write up给感兴趣的人参考,当然其中如有错误之处,希望大家能 积极指出,我会尽快处理,有则改之无则加勉。最后就是不出意外的话,下周 将会上传关于Nmap使用的一些整理后的教程,慢慢期待吧! 载于:https://www...
【网络安全】一篇文章带你了解CTF那些事儿
最新发布
2301_77160226的博客
08-01 1618
CTF,即 Capture The Flag,中文名为夺旗赛,是一种网络安全技术人员之间进行技术竞技的比赛形式。在 CTF 比赛中,参赛者需要通过解决各种与网络安全相关的技术挑战来获取“旗帜”,这些挑战通常涵盖了多个领域的知识和技能,例如密码学、Web 安全、逆向工程、漏洞挖掘与利用、隐写术、二进制分析等等。比如说,在密码学相关的挑战中,可能需要参赛者破解加密的信息或算法来获取关键线索;Web 安全挑战可能要求找出网站存在的漏洞并加以利用;逆向工程则可能涉及对未知软件或程序的分析和理解。
ctf
tao546377318的博客
08-26 2379
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为
CTF如何入门
weixin_33806914的博客
04-22 1804
声明:文字整理自i春秋课程,感谢视频作者幻泉分享。 题目类型 Web Crypto PWN Misc stego forensic … Reverse PPC(Professonal ProgramCoder) 国际比赛:DEFCON资格赛 国内比赛:XCTF联赛 打CTF的意义 思维...
CTF初入门
zhang_dashuai的博客
08-27 1642
《信息安全入门指南》 http://blog.jobbole.com/48738/ 就一点点开始吧。
CTF入门
weixin_30664539的博客
07-23 275
载于:https://www.cnblogs.com/qing123tian/p/11234448.html
【愚公系列】202403月 《CTF实战:从入门到提升》 003-Web安全基础知识(HTTP安全)
时光隧道
02-26 5万+
HTTP安全是指在使用HTTP协议进行通信时,采取的一系列措施和技术,以确保传输过程中的数据的机密性、完整性和可信性。HTTP协议本身是一种明文的协议,数据在传输过程中容易被窃听、篡改或伪造。措施描述HTTPS在HTTP协议基础上增加了SSL/TLS加密层,通过对通信内容进行加密以保护数据的机密性。加密使用对称加密或非对称加密算法对敏感数据如用户登录信息或支付信息进行加密,防止数据被窃听。认证通过身份验证技术验证通信双方的身份,确保通信的可信性。
CTF-Web-Challenges:一个主页上的一组 4 个 CTF Web 挑战
07-12
一个主页上的一组 4 个 CTF Web 挑战 私下给我发消息(出于显而易见的原因,我不会公开发布解决方案 [:) 以获取有关 4 个级别中每个级别的信息,即它们究竟是什么,我对每个级别的解决方案,或者它们如何工作。 在...
【愚公系列】202403月 《CTF实战:从入门到提升》 011-Web安全入门(PHP反序列化漏洞)
时光隧道
03-30 5万+
PHP是一种广泛使用的开源服务器端脚本语言,它支持面向对象的编程范式。在PHP中,类和对象是用于封装数据与功能的核心组件,它们使得代码更加模块化、易于管理和扩展。在处理对象持久化——即在不同会话或不同请求之间保存对象状态的过程中,序列化和反序列化是两个非常重要的概念。反序列化漏洞通常发生在不安全地反序列化用户提供的数据时。代码执行:攻击者可能会注入恶意对象,当这个对象被反序列化时,它可能会触发任意代码执行。对象注入:通过构造特殊的序列化数据,攻击者可能会在应用程序上下文中创建不正当的对象实例。
CTF 入门指导教程
12-04
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。
CTF赛题:将txt文件提取换为图片(二维码)
10-20
提取txt文档中的大量0和1,生成二维码
CTF学习之0基础入门笔记(一)
Queen_is_king的博客
07-09 3558
Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对Web应用安全的关注度也逐渐升温。示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。在这个时候,Web 由大量的静态 HTML 文档组成,其中大多是一些学术论文
CTF入门指南
Dasdwer的博客
05-05 527
http://redtiger.labs.overthewire.org/ B方向 国外sql注入挑战网站,10关,过关的形式 不同的注入,循序渐近地练习。3.从基础题出发 一般都是100,200,最高分在500,600 先把100分的学好,可从实践,高中的ctf学起,比较简单,只涉及1,2个点。http://smashthestack.org A方向,简洁,国外,wargames,过关。http://oj.xctf.org.cn/xctf 题库网站,历题,练习场,比较难。
那些踏过的CTF--VID~(一)!
u011215939的博客
01-17 958
在i春秋的线下培训基地–Web安全就业班CTF比赛中我遇到了这样一些:今天列出来给各位看光瞧瞧: 网站IP 我们先访问目标网站:http://106.75.26.211:1111/ 一句很和谐的话告诉我们这里没有任何东西,但是实际上呢?我们看看网页源代码: 看吧CTF的东西哪有那么简单?!于是乎访问这个页面: 完整代码如下: Fi
ctfshow ctf
qq_61768489的博客
02-10 851
来设置私有属性,给一个未定义的属性赋值时,触发__set(),传递的参数是被设置的属性名和值.所以,2023是兔,密码也是。聪明的小伙伴们,你能破解出下面的密码吗?老g师傅最近发现了一个有趣的ctf工具,你能找出flag吗?据说上面的无线电信号代表的是中文,由红岸基地发往半人马星系。弱比较和强比较的问题 2023那里是强比较,还是很容易的。里面的$this->key,为happy2year类。还有个(),所以是个无参函数, 有个trick是。虽然exp比较简单,但是里面的逻辑挺值得学习的。
ctf入门题之关卡一
笨蛋9的博客
02-18 6754
简介最近正好有台攻防平台的设备有些ctf的简单入门题,自己做了下,顺便写了些思路和过程和大家分享下,希望对新手有点帮助题目思路题目中有些提示:部分版本的Serv-U软件存在目录遍历、权限提升、匿名登录等漏洞,因此我们可以从题目中这些提示结合Ser-U软件的版本进行入手解题过程 发现直接匿名登录就能进去了,也不能cd到上级目录。但Serv-U版本是v10.5,这版本的Serv-U可能存在目录遍历漏洞
CTFSHOW CTF(web部分)
羽的博客
01-29 1777
CTFSHOW CTF
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值