今天木有看书 看了一整天的ctf视频 就总结一下吧
首先ctf比赛分为了几个模块 misc安全杂项 web pwn re 大型比赛的话web较多较难 pwn压轴 这是在国内 国外的话web少 pwn多
要打ctf需要什么样的基础呢 或者说需要什么样的知识储备呢
首先 要能够发掘出漏洞 这个就需要一定的c语言知识 进行代码的审计 环境的调试 觉得这个还是很重要的 这个工作需要会linux php 因为线下赛的时候基本都是夺旗 给你服务器 你要守住 服务器一般使用php jsp 所以要看的懂代码 并且可以把里面的问题找出来
基本的web漏洞 webshell 文件上传 文件包含 反序列化攻击 注入 xxe 等等吧
找出来问题就要立即进行修补 因为主办方给的服务器是一模一样的 所以你发现的问题可以用来攻击别人 如果别人没有发现这个漏洞那你就成功了 发现漏洞之后该怎么办呢 这时候就需要写脚本了 用什么写最好呢? 毫无疑问 python!!!!
python用于攻击是强的一批 尤其是写脚本 具体的过程是什么样的呢
搜集信息 你要看到自己的服务器有什么漏洞 代码审计 同时你可以使用nmap或者其他的软件进行信息的搜集 查看对方开了哪些端口 端口开了就代表有程序正在监听端口 使用中 那么你就可以去寻找这个端口常见的漏洞了
这个网址还不错 可以用 里面会更新漏洞 中国的话 有乌云 还有seebug
找到了漏洞之后该怎么办 ?去触发它 这时候python就可以派上用场了 构造脚本 输入url 去触发它 在收到的应答包里面去找shell 或者是登陆的用户名密码等等
还有一个稍微讨巧的方法 那就是我没有分析出来有什么漏洞 但是别人攻击我了 我可以通过流量分析来找到攻击包 逆向推出来 然后复原它 使用你打我的方式去打别人而且知道了你的这个方法 我也可以进行一定的修补 打补丁
有一些软件是需要去下载的 但是幸运的是 kali里面基本都有 这就要求了 必须要会linux
有些人攻击你的时候 会记录你的键盘输入 这样你的密码就会泄露 直接釜底抽薪 但是这样也是可以避免的 那就是不使用密码登陆 使用公私钥登陆 这种方法很安全就算得到了你的键盘输入值 但是却破解不了你的密码
还有的 神器 burpsuite 真的牛逼 metasploit 攻击框架 hydra 爆破 ida pro做逆向等等 需要灵活的使用各种软件
突然觉得那些大神真的牛逼
连续三十二个小时的拼杀 拿到第一 很厉害了
今天最大的体会就是代码我看不懂 就算前段时间学了python 但是觉得学到的是皮毛中的皮毛根本达不到去写脚本的地步
还有php 因为很少触碰前端 所以一知半解 现在真的是 越学越不会 不懂的东西太多了
觉得看书没有多大的用处 没有亲自看一遍 听一遍理解的透彻
还是看视频吧接下来
pwn的话 太难了 没有懂先看基础的吧
795
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
