也做了几天的ctf题,遇到了不少类型的题目,在这里回忆回忆:
这里只写我现在相对熟悉的,不熟悉的先不写;
1.代码审计题
如php的代码读取
和网页源代码的分析(写不完了下次再写)
耽搁了一些时间,现在把没写的内容继续补上
2.爆破题
其实爆破题是属于比较简单的题,一般题目上都会有提示,一看是爆破题,就直接抓包,进行爆破就行了。
具体步骤就不详述了
用到burp suite工具包的intruder工具,爆破的是明文密码传输的,具体步骤:
.抓包 --sent to intruder-- 配置position(clear add 操作)--配置payload--没问题之后直接start stack即可
3.修改数据参数的题目(这些不太会分类)
比如修改 数据包的user-agent 就是修改数据包的参数,包括浏览器类型 语言 host ip 文件地址
4.IP地址绕过
这个我曾经写过一个例题,解决问题的方法是,用X-Fortwarded-For: 127.0.0.1 来声明该地址即是数据包的源地址。
5.nmap扫描主机的端口
先写这么多吧,总结的并不好,至于sql注入,我暂时还不会,这篇博客,我会一直更新直到完善。
接下来写一下我总结的ctf解题思路:
第一步审题,从题中找到一些关键信息来确定用对应方法解相应的题
第二步查源代码,查完源代码,不管获没获的有用的信息,都要f12打开console,继续检查
第三部抓包
第四步修改抓到的数据包
暂时就这么多吧。