- 博客(4)
- 收藏
- 关注
RSS订阅原创 CTF Web 题目一般解题思路
Wappalyzer 识别技术栈(框架、数据库等 );抓包工具(Burp Suite )截获请求,检查 Cookie、自定义 Header 藏的提示。(框架 / 语言,如 PHP/Flask ),辅助定位漏洞(如 Flask 可能有 SSTI )。:复现经典赛题(如强网杯、HackTheBox ),总结同类漏洞套路。:输入点(URL 参数、表单、Cookie )传入单引号。(识别服务器类型,如 Nginx/Apache )、字段 )、JS 代码(可能藏接口、加密逻辑 )。:抓包改参数,测试业务流程漏洞。
2025-06-09 09:46:52
544
原创 CTF的misc题目类型
• 解题思路:使用`file`命令、010Editor、binwalk等工具分析文件结构,提取隐藏或损坏的数据。• PCAP文件分析:使用Wireshark等工具分析抓包文件,查找HTTP请求、DNS查询、异常流量等。工具如Audacity、MP3stego等。• 定义:隐写术是将信息隐藏在图片、音频、视频等文件中,而不改变文件的外观或正常使用。• 解题思路:利用搜索引擎、爬虫工具、DNS查询工具等搜集信息,分析信息的关联性。• 协议分析:分析特定协议(如TCP、UDP、HTTP、FTP等)的通信内容。
2025-03-24 09:49:23
994
原创 CTF的web方面题型有哪些?
CTF中的Web题型涵盖了Web应用的各种漏洞和攻击手段,参赛者需要掌握SQL注入、XSS、CSRF、文件包含、命令注入、目录遍历、代码审计、SSRF、XXE、逻辑漏洞等知识,才能在比赛中快速找到并利用漏洞获取flag。• 题型描述:通过发现Web应用的配置错误(如错误的文件权限、未关闭的调试模式等),获取敏感信息或权限。• 题型描述:通过构造恶意SQL语句,攻击Web应用的数据库,获取敏感信息(如用户数据、flag等)。• 发现文件包含漏洞(如`include`、`require`函数)。
2025-03-23 20:17:09
1031
原创 「SQL过滤绕过」
id=1' anD 1=1 --+(方法同and or 过滤绕过):在单词内部再写入一个本单词。:在单词内部再写入一个本单词。
2025-03-17 09:43:56
478
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人