最近公司组织了一次为期两个小时的CTF培训,主要是讲一些思路。虽然没什么干货,不过积累总是好的。
* 做题逻辑:
根据分值来判断题目难易程度,在有限时间里可以舍弃认为有坑或者做不出的题目,如果队伍中某个人有信心能够做出最高分的题,可以给他足够多的时间先做分值高的题,毕竟高分题拉分,分值低的题到后面不会浪费很多时间,但是如果比赛规定第一名做出的人有加分,那肯定先抢低分题。
* 准备工具:
扫描器(CTF需要的是足够多的信息收集,出题人不会让你花很长时间扫描,可能在题目中会有提示,扫描以小型扫描器为主,一个人使用大型扫描器),burpsuite,sqlmap,菜刀,python。
* 一些思路:
1. 查看源码,在CTF里面是最重要的方式之一,是基础
2. HTTP协议
3. HTTP头修改,包括IP地址,浏览器信息(有时候题目只允许使用某浏览器)来源
4. sqlmap的tamper要了解,一般比赛waf关键字不会很难,常规绕过,输入关键字符select等,可以大小写转换,url编码,能用盲注的肯定可以用报错注入,报错注入的payload可以在网上先记下来。
5. robots.txt文件
6. 扫描不要占用很长时间
7. 可以多带一个电脑,插线板,网线
8. 一般CTF用古典型加密,带一个识别密文的工具
9. 返回包的响应头可能有提示信息
10. burp里面提交某数据,可以是get,post或者在头部字段
11. php审计,php大部分是函数漏洞
12. 关注最新漏洞
大概就是酱紫,还木有实践过,不能保证都是正确的,有问题欢迎指正~~~ 最近也报名了某ctf比赛,先试试水。 另外要是有什么好的学习ctf的网站或者资料欢迎分享哇ο(=•ω<=)ρ⌒☆
