最近公司組織了一次爲期兩個小時的CTF培訓,主要是講一些思路。雖然沒什麼乾貨,不過積累總是好的。
* 做題邏輯:根據分值來判斷題目難易程度,在有限時間裏可以捨棄認爲有坑或者做不出的題目,如果隊伍中某個人有信心能夠做出最高分的題,可以給他足夠多的時間先做分值高的題,畢竟高分題拉分,分值低的題到後面不會浪費很多時間,但是如果比賽規定第一名做出的人有加分,那肯定先搶低分題。
* 準備工具:掃描器(CTF需要的是足夠多的信息收集,出題人不會讓你花很長時間掃描,可能在題目中會有提示,掃描以小型掃描器爲主,一個人使用大型掃描器),burpsuite,sqlmap,菜刀,python。
* 一些思路:
1. 查看源碼,在CTF裏面是最重要的方式之一,是基礎
2. HTTP協議
3. HTTP頭修改,包括IP地址,瀏覽器信息(有時候題目只允許使用某瀏覽器)來源
4. sqlmap的tamper要了解,一般比賽waf關鍵字不會很難,常規繞過,輸入關鍵字符select等,可以大小寫轉換,url編碼,能用盲注的肯定可以用報錯注入,報錯注入的payload可以在網上先記下來。
5. robots.txt文件
6. 掃描不要佔用很長時間
7. 可以多帶一個電腦,插線板,網線
8. 一般CTF用古典型加密,帶一個識別密文的工具
9. 返回包的響應頭可能有提示信息
10. burp裏面提交某數據,可以是get,post或者在頭部字段
11. php審計,php大部分是函數漏洞
12. 關注最新漏洞大概就是醬紫,還木有實踐過,不能保證都是正確的,有問題歡迎指正~~~
最近也報名了某ctf比賽,先試試水。
另外要是有什麼好的學習ctf的網站或者資料歡迎分享哇ο(=•ω<=)ρ⌒☆