CTF 竞赛入门指南(CTF All In One)学习(二)

最新推荐文章于 2024-05-27 18:00:00 发布
最新推荐文章于 2024-05-27 18:00:00 发布
阅读量396 收藏 1
点赞数
分类专栏: CTF 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m_pNext/article/details/107184561
版权

Web服务器基础

OWASP Top Ten Project 漏洞基础

注入

        用户的输入被当作代码执行。

类型

类型说明
SQL注入拼接
系统命令注入拼接
表达式语言注入Java中常见的
服务端模板注入使用模板引擎的语言中常见的

失效的身份认证

敏感信息泄露

XML外部实体

XML

  • 类似HTML,是一种标记语言。
  • 目的不同,
    • HTML旨在显示数据;
    • XML旨在传输和存储数据。

XXE(Xml eXternal Entity)

        利用XML处理器对外部实体的处理机制,以用户的外部实体输入替代已定义的实体引用。

失效的访问控制

示例

安全配置错误

跨站脚本

类型说明
反射型XSS在用户可控的输入放回位置插入脚本,通过交互触发。
存储型XSS将脚本写入持久化存储中。
DOM型XSS将脚本写入正常的 JS 框架或者 API 中。

不安全的反序列化

序列化:把对象转换为字节序列的过程。
反序列化:把字节序列恢复为对象过程。

使用含有已知漏洞的组件

不足的日志记录和监控

PHP源码审计基础

m_pNext
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF 竞赛入门指南CTF All In One)学习(一)
m_pNext的博客
07-07 1822
Web安全基础HTML基础XSS漏洞HTTP协议基础COOKIEHTTPSJavaScript基础嵌入形式数据类型 HTML基础         HTML中一些属性具有修改样式的功能,在CTF中可用于信息隐藏。 XSS漏洞         导致原因:嵌入在HTML中的其他动态语言。 HTTP协议基础 COOKIE 服务器使用Set-Cookie
CTF 竞赛入门指南CTF All In One)学习(五)
m_pNext的博客
07-10 253
汇编基础X64汇编基础寄存器寻址模式指令指令后缀ARM汇编基础   X64汇编基础 寄存器 x64 extends x86’s 8 general-purpose registers to be 64-bit, and adds 8 new 64-bit registers. The 64-bit registers have names beginning with “r”, so for example the 64-bit extension of eax is called rax. The new
CTF100题.docx
05-25
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。 CTF竞赛模式具体分为以下三类: 一、解题模式(Jeopardy) 在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。 、攻防模式(Attack-Defense) 在攻防模式CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力
XmlDocument操作XML
热门推荐
向高手学习
07-03 2万+
https://www.cnblogs.com/fengxuehuanlin/p/5631664.html C# XmlDocument操作XML XML:Extensible Markup Language(可扩展标记语言)的缩写,是用来定义其它语言的一种元语言,其前身是SGML(Standard Generalized Markup Language,标准通用标记语言)。它没有标签集(t...
2024最全CTF入门指南(建议收藏)
最新发布
2401_85185266的博客
05-27 988
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。MISC(安全杂项)
使用Document解析xml格式的文件(以P3C扫描结果为例)
MM3188608945的博客
01-11 1007
Java解析xml格式文档(以P3C扫描结果为例)
CTF之眼见非实
D-R0s1的博客
07-20 4311
                                 CTF中对于xml文件的处理方式        最近几天在刷一些平台上的ctf题,遇到了好多文件解压出来以后是xml格式的,觉得就我现阶段能接触的题来说,还是有一点经验可循的,我是一个刚入坑的小白,有误之处还请路过的大牛指正。        首先感谢BugKu这个ctf平台,我要跟大家一起分享的这道题目是BugKu平台的名为眼见...
CTF血泪史
hfut天天的博客
07-29 834
CTF入门到自闭》 入门练习CTF网站 https://ctf.bugku.com/challenges 这是菜鸟首次接触c++,还望各位大佬多多指导! 杂项 1.签到题 扫维码就可以获得flag 2.这是一张单纯的图片 将图片保存到本地是个小兔子,然后用notepad++打开图片,发现了最下面一行的 base64 编码,解密得到flag 3.隐写 用notepad++打开没有发现...
CTF 竞赛入门指南ctf-all-in-one).pdf
09-07
一、基础篇;、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;七、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
ctf-all-in-one.pdf
09-29
好东西,看完对你ctf的帮助不是一般大,也可以学习到很多安全方面的技术
ctf_all_in_one.pdf
08-19
ctf_all_in_one这个一个能够为想去做网路攻防的人做的技术贴,书中包含了ctf需要的技能列表
CTF竞赛入门指南.pdf
01-24
CTF竞赛入门指南.pdf
ctf-all-in-one
01-30
ctf-all-in-one
UNCTF笔记
m0_63606906的博客
11-27 463
下载打开发现文件损坏,按照提示在winhex打开zip文件,文件尾被改,0405恢复0506,再打开发现flag.txt被加密,再附属文件syslog下查找password,得到一串base64,解码得文件密码,打开得到flag。打开压缩文档发现是word文档,但在winhex打开是zip文件开头,改后缀docx为zip,解压出一堆xml文件,vim打开发现document.xml文件存在零宽字符,在线解码零宽得flag。社会工程就需要熟练运用各种搜索引擎进行信息综合,就如这次的"社什么社"
使用Document解析xml
秃顶的程序媛
08-23 1420
【代码】使用Document解析xml。
CTF】解题随笔_笔记
羊柳树的博客
12-06 660
杂项 图片类型题 隐藏flag的几种方法: 1,在图片的属性栏中 2,在图片的16进制编码中会有提示(可能直接给出flag,可能给出一段密文,MD5,16进制码,unicoda码等) 3,如果是 Exif 图片,用MagicExif工具查看一下这个图片的Exif信息,可能隐藏在其中 4,隐写,给出的压缩图片不完整,导致隐藏了一部分图片内容,解决办法:将图片托入winHEX 中调整 图片的宽和高 5,LSB图像隐藏,就用Stegsolve查看一下 6,最多的就是将几个压缩包隐藏在图片中,这时就需要进行文件的
2021年江西省网络安全大赛初赛MISC:extractall(循环解压+斐波那契脑洞)
Zeker62的博客
09-28 585
目录解题思路总结解题思路 在附件里面的文件长这样: 首先点开hint.txt 发现,直接告诉了解压包密码是前一个解压包的名字。 (这句话用南昌话说更带味) 解压之后,发现还是有压缩包,于是这可能就是杂项固定的套路之一——循环解压 但是在解压之前,要思考,题目的名字是什么意思? 百度一下,发现,extractall是python解压库里面的一个函数名:extractall是一个函数,能够解压文件,...
网络信息安全攻防学习平台CTF练习-基础篇
weixin_49349476的博客
05-11 2275
网络信息安全攻防学习平台 :http://hackinglab.cn/main.php。
网络安全ctf学习资源/解题工具整理,解题工具,推荐收藏!
程序员小麦的博客
06-24 2877
对于想学习或者参加CTF比赛的朋友来说,CTF工具、练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助。
CTF 竞赛入门指南
09-27
作为一个入门指南,我将提供一些基本的信息和学习资源,以帮助您开始进入CTF竞赛。 1. 了解CTF竞赛CTF(Capture The Flag)是一种网络安全竞赛,旨在测试参赛者在网络安全领域的技能。参赛者需要通过解决一系列的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值