漏洞扫描期中大作业

已于 2022-04-23 17:34:09 修改
阅读量332 收藏 1
点赞数
文章标签: 大数据
于 2022-04-22 10:01:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69004059/article/details/124337176
版权

目录

第一节 CTF基础知识

(一)简介

(二)竞赛

(三)比赛形式

(四)题目

第二节 Web

(一)目录遍历

(二)PHPINFO

(三)备份文件下载

一、CTF基础知识

1、简介

CTF(C apture T he F lag,夺旗赛)CTF 的前身是传统黑客之间的网络技术比拼游戏,起源于 1996 年第四届 DEFCON,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。

CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。

flag所表示的为目标服务器上存储的一些敏感机密的信息, 这些信息正常情况下是不能对外暴露的。选手利用目标的一些漏洞,获取到flag,其表示的即为在真实的黑客攻击中窃取到的机密信息。

一般情况下flag拥有固定格式为flag{xxxxx},有些比赛会把flag关键词替换,例如我们CTFHub平台的flag为ctfhub{xxxxx},利用固定格式来反推flag也是一种常见的解题思路

通常来说CTF是以团队为单位进行参赛。每个团队3-5人(具体根据主办方要求决定),在整个比赛过程中既要每个选手拥有某个方向的漏洞挖掘能力,也要同队选手之间的相互配合。

2、竞赛

理论知识

理论题多见于国内比赛,通常为选择题。包含单选及多选,选手需要根据自己所学的相关理论知识进行作答。最终得出分数。理论部分通常多见于初赛或是初赛之前的海选

Jeopardy-解题

参赛队伍可以通过互联网或者现场网络参与,参数队伍通过与在线环境交互或文件离线分析,解决网络安全技术挑战获取相应分值,类似于 ACM 编程竞赛、信息学奥林匹克赛,根据总分和时间来进行排名。

不同的是这个解题模式一般会设置 一血(First Blood) 、 二血(Second Blood) 、 三血(Third Blood) ,也即最先完成的前三支队伍会获得额外分值,所以这不仅是对首先解出题目的队伍的分值鼓励,也是一种团队能力的间接体现。

当然还有一种流行的计分规则是设置每道题目的初始分数后,根据该题的成功解答队伍数,来逐渐降低该题的分值,也就是说如果解答这道题的人数越多,那么这道题的分值就越低。最后会下降到一个保底分值后便不再下降。一般称之为动态积分

题目类型主要包含 Web 网络攻防 、 RE 逆向工程 、 Pwn 二进制漏洞利用 、 Crypto 密码攻击以及 Misc 安全杂项 这五个类别,个别比赛会根据题目类型进行扩展。

AwD-攻防模式

A ttack w ith D efense(AwD)全称攻防模式,在攻防模式CTF赛制中,参赛队伍连接到同一个网络空间。主办方会预先为每个参赛队分配要防守的主机,该主机称之为GameBox,每个队伍之间的GameBox配置及漏洞是完全一致的,选手需要防护自己的GameBox不被攻击的同时挖掘漏洞并攻击对手服务来得分。在AwD中主办方会运行一个名为Checker的程序定时检测选手的GameBox的运行状态。若检测到状态不对则判定该GameBox宕机,按照规则扣除一定分数。攻防模式CTF赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,也比体力(因为比赛一般都会持续24至48小时左右),同时也比团队之间的分工配合与合作。

AwD通常仅包含WebPwn两种类型的题目。每个队伍可能会分到多个GameBox,随着比赛的进行,最早的GameBox可能会下线,同时会上线新的GameBox。

AWP-攻防增强

A ttack D efense P lus(ADP)全称攻防增强模式,在该模式下中,参赛队伍连接到同一个网络空间。主办方会在平台上放置题目,选手需要登录到平台获得题目信息

攻击模式下,平台会给出题目的访问链接,选手按照解题模式做题提交flag即可完成攻击,当完成攻击后, 每轮计算分数时均会计算该题目的攻击得分。

防御模式下,选手需要自行挖掘题目的漏洞,并制作漏洞补丁包上传至平台,之后点击验证。验证时平台会新建一个完全干净的题目环境,使用预置的Exploit进行攻击,若攻击成功当验证通过之后(即已经完成修补),每轮计算分数均会认为该题目已防御。

也就是说,对于每个题目,仅需要攻击成功一次,防御成功一次,该题就可以认为已完成,后续无需进行关注。

ADP通常仅包含WebPwn两种类型的题目。随着比赛的进行,最早的题目可能会下线,后续也有可能会上线新的题目。

ADP相较于AwD来说,选手无须编写批量攻击脚本,也无需关注题目的环境是否被攻击,是否服务异常等等,要做的只是攻击一次,防御一次,选手可以有更多的时间聚焦于还未完成的题目。从主办方的角度来说,大大减轻了比赛的硬件成本和运维成本。

最低0.47元/天 解锁文章
m0_69004059
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF题库>FIVE1 (图片内藏有5位数密码,你能找出来吗? flag格式:flag{xxx})
qq_42777804的博客
08-17 9359
这道题文件名字怎么这么长????? 我们将其重命名为.zip 进行压缩 发现还是需要输入密码 这里注意了 要仔细看文件名字 将文件名字 1111110000000000 转化成十六进制 FC00 输入 发现居然成功了 2.我们将解压后的文件打开 发现还是一张图片 将它放到十六进制编译器里打开发现 拖到最下面发现 LS0uLi4gIC4tICAuLi4uLiAgLS0uLi4...
20202422 2022-2023-2 《网络与系统攻防技术》实验八实验报告
cdssywgyxx的博客
06-07 195
(1)Web前端HTML能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。(2)Web前端javascipt理解JavaScript的基本功能,理解DOM。在(1)的基础上,编写JavaScript验证用户名、密码的规则。在用户点击登陆按钮后回显“欢迎+输入的用户名”尝试注入攻击:利用回显用户名注入HTML及JavaScript。(3)Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表。
CTFHUB技能树详解(最全、最细、最易懂)
it_wzb的博客
09-29 4682
最近闲的无聊,玩玩CTF吧,并把自己的解题思路分享给大家。大佬多指教。
CTFHub | 基础认证
尼泊罗河伯的博客
10-01 4579
这题有一个题目附件10_million_password_list_top_100 内容是1000 万密码列表的前 100 个,那么这题应该和暴力破解有关。在这之前,我先使用了暴力破解工具进行尝试,但是密码都试遍了也没成功。
CTFHub 技能树web
weixin_63231007的博客
07-19 2432
这道题是想让我们对http的请求方式有一个了解。由这些可知需要用CTFHUB的请求方式请求index.php才能拿到flag这就需要用到我们windows自带的curl命令了。curl用法参数-v显示整个通信的过程-X指定HTTP请求方法这里就需要用到我们的-X参数了。得到flag。也可以用burp抓包更改左上角的请求方式。......
ctf训练 web安全命令注入漏洞
qq_43799246的博客
12-05 2108
ctf训练 web安全命令注入漏洞 实验环境 一台kail攻击机 和 靶机 靶机镜像:https://pan.baidu.com/s/1FG3VbDmDGHY8rOtuOFhRxA 提取码:oues 安装打开靶机(使用Oracle VM VirtualBox打开): (注意:靶机用桥接模式则攻击机也用桥接模式,注意检查!!!!) 接下来发现没法登陆,也没有办法获取ip地址 所以我们在kail下 进入控制台 使用netdiscover命令 netdiscover -r ip/子网掩码 命令来探测靶机 信息
UML期中大作业的所有图-类图/用例图/活动图/状态图/顺序图(协作图)
01-21
期中作业
PS期中小作业
12-20
期中的作业,十分足够了,包含素材和PSD文件
jsp期中作业jsp期中作业
05-25
jsp期中作业,做网页 jsp期中作业,做网页 jsp期中作业,做网页
计算机网络原理\计算机网络原理期中考试大作业作业答案.doc
05-08
计算机网络原理\计算机网络原理期中考试大作业作业答案.里面有详细的解答,大量的资料和内容,对计算机网络原理有深刻的理解。
CTF技能树,为初学者的一个认识ctf
10-22
ctf的一个树状图而已
大学附中_高二语文上学期期中试卷扫描版 试题.doc
11-13
大学附中_高二语文上学期期中试卷扫描版 试题.doc
2021CTF工业信息安全技能大赛-智能卡
qq_43264813的博客
07-05 1351
2021CTF工业信息安全技能大赛-智能卡 小王是工厂的一名工程师,每天的工作是启动设备进行加工,设备一共进行两次加工。设备在运转过程中突然停止工作,打开梯形图发现其中两个数值丢失,请帮助小王填补数值VD200与VD300,flag为VD200加上VD300。flag格式为flag{VD200_XX_VD300_XX}。 使用工具:010Editor 解题步骤: 1.使用工具打开文件,进行md5校验和,得到md5值后小写提交flag。 2.FLAG flag{526e683b4f9ccf4aa56e65f
CTFUB
m0_56285474的博客
04-26 348
目录 CTF基础知识 WEB 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、CTF基础知识 (一.)CTF简介:CTF 的前身是传统黑客之间的网络技术比拼游戏,起源于 1996 年第四届 DEFCON,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。CTF是一种流行的信息安全竞赛形式,一般情况下flag拥有固定格式为fla
CTFHub | PHPINFO
尼泊罗河伯的博客
10-03 1717
因为这题没有过多的提示,只是说明了 phpinfo ,点击查看页面发现 phpinfo 测试页面。原以为这题是一道大题,需要利用信息泄露找到跳转页面什么的。测试了好久都是 not found ,最后在接近网页末尾才发现一个名称为 ctfhub ,这才发现了此题 flag 居然隐藏在测试页面中。
CTF基础知识
m0_65849838的博客
04-26 6109
文章目录一. CTF简介1.开启题目并点击题目附件2.得到正文和flag①正文②FLAG二.竞赛模式1.开启题目并点击题目附件2.正文和flag①正文理论知识Jeopardy-解题AwD-攻防模式AWP-攻防增强RHG-自动化[ AI自动化]RW-真实世界KoH-抢占山头Mix[混合]②flag三.比赛形式1.开启题目并点击题目附件2.正文和flag①正文线上线下②flag四.题目1.开启题目并点击题目附件二.正文和flag①正文WebPwnReverseCryptoMisc②flag 一. CTF简介 1
[青少年CTF]So_easy
明裕学长的博客
03-16 208
很明显的base64。
CTFHub技能树-目录遍历
u013622866的博客
03-13 5128
嘿嘿,学了一段时间的运维,最后还是决定回来试试网络安全,所以还是从基础开始记录,希望大佬别踩我......比♥ CTFHub也是刚起的一个平台,是一个从基础开始的平台,比较适合我这种小白,嘿嘿. 打开靶机 访问靶机 发现只有一个点击查找flag,我还是决定 F12 一下,结果是啥也没有,尽管没有什么收获,但是还是意识还是要有的对吧..嘿嘿 点开点击查找flag后发现,是apac...
CTF writeup 1_网络安全实验室
热门推荐
Troy
10-26 31万+
基础关1.key在哪里? 过关地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
厦门大学c语言期中试卷
最新发布
11-13
厦门大学c语言期中试卷是厦门大学计算机科学与技术专业的一门考试科目。这份试卷主要考察学生对C语言的掌握程度和编程能力。 试卷分为多个部分,包括选择题、填空题、编程题等。选择题主要考察学生对C语言基本概念...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值