CTF常见题型及解题思路 |
您所在的位置:网站首页 › 谷歌双开是什么 › CTF常见题型及解题思路 |
一、CTF简介 1.1 概念Capture The Flag——夺旗赛。网络安全技术人员之间进行技术竞赛的一种比赛形式。 1.2形式:flag{XXXXXX}1.3常用手段:(基于渗透测试)信息收集,寻找漏洞点、payload;执行 二、WEB网页基于默认80端口http协议的各种漏洞 2.1 类型基础爆破(用户名口令、默认路径与配置) 注入(SQL、XSS、命令) 文件上传、文件包含 代码审计(逻辑漏洞、反序列化) 2.2 工具:1、抓包:burp、hackbar 2、木马:菜刀、剑蚁、冰蝎 3、python、php各类脚本及审计 4、中间件漏洞利用工具:st2、java反向序列化(weblogic、jboss等) 2.3 注入2.3.1 要点 了解基础指令:select、、if(p)config 找出注入点 绕waf(web application firewall) 盲注(时间注入、报错注入、布尔盲注) 2.3.2 根据注入点位置分类 GET型注入 POST注入 HTTP注入:cookie注入、host头注入、X-Forwared-for注入 2.3.3 SQL注入的一般步骤 求闭合字符-->选择注入模式-->爆数据库-->爆表名-->爆列名-->爆字段 *联合注入 2.3.4 报错注入 当页面可报错但无正常回显时,可以使用报错注入,注入速度快 2.3.5 文件上传 常见绕过姿势:客户端改包、插入文件头、后缀黑名单疏漏、00截断、中间件解析 2.3.6 文件包含 要点: 1、包含一些敏感的配置文件、获取目标敏感信息 2、配合图片木马getshell 3、包含临时文件getshell 4、包含session文件getshell 5、包含日志文件getshell 6、利用php协议进行攻击 三、密码学Crypto工具:CTFtools 常见类型: 1、代替密码 2、置换密码:栅栏 3、编码:assci、molse、base64、猪圈、培根等 4、RSA——非对称密码 5、散列(hash)函数 四、Reverse逆向脱壳 反编译 设断点 动调 理解框架、函数调用 五、PWN溢出栈溢出:整数溢出、数组边界溢出、格式化字符串、条件竞争、逻辑漏洞 六、MISC隐写术、流量分析、日志分析、磁盘文件恢复 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |