---恢复内容开始---
我的练习平台__成都大学网络攻防平台
http://ctf.cdusec.org/challenges
先简单介绍一下CTF
全称:C(capture)T(the)F(flag),通俗的来说就是夺旗赛
号称:计算机界的奥林匹克
官方起源:1996年DEFCON全球黑客大会
CTF的三种模式:解题模式(线上做题目,寻找flag获得积分)、攻防模式(一般在线下,局域网攻防)、混合模式
CTF的题目主要有几大类型
1、WEB:常见的web漏洞,如注入、xss、文件包含、代码执行、上传等漏洞
2、密码学(crypto):各种加密技术,包含古典加密,现代加密和出题人自己创的加解密技术
3、misc安全杂项:电子取证、人肉搜索、数据包分析、大数据统计等等
4、逆向工程(reverse):软件逆向和破解技术
5、隐写术:对各种隐写工具、隐写算法的熟悉程度,比如小编做的一个CTF题,给你个MM图片叫你找flag,这就是把flag用隐写术写进图片里
6、PPC(编程):程序编写、编程算法实现
7、PWN(溢出):堆栈溢出,PWN是个很恐怖东东
CTF的web考点与必备工具
CTF中的WEB考点:
1、直接查看源代码,这个一般是第一个考题(签到题)用F12控制台或者ctrl+u查看源代码。
2、查看修改或添加HTTP请求头和响应头
3、302跳转的中转网页有信息
4、查看开发者工具控制台(也就是f12的控制台)
5、JavaScript代码,包括js加解密,小编的CTF战队发明一个简单粗暴的方法,看到js的时候,你把js代码复制下来,放在记事本里,加一个alert输出,后缀名改成html,双击就可以看结果了。也可以在f12的控制台的控制台菜单进行调试
6、使用burp拦截,很多题目都可以用burp抓包工具
7、robots.txt
8、asp、php代码审计
9、sql注入
10、简单脚本使用
11、后台登录
12、代码逆向
13、上传绕过
14、hash函数
15、备份文件
16、验证码
17、cookie
18、MD5碰撞
web题目必备的工具
1、burpsuite抓包工具
2、firefox_firebug插件
3、firefox_tamperdata插件
4、firefox_modifyheaders插件(改地区信息)
5、firefox_hackbar插件(提交post等)
6、御剑(扫描后台)等等
7、XSSEE(编码解码器)
8、sqlmap
9、基本编程环境
以上摘自掘安实验室.
直接看题把
*****************第一题
链接 http://ctf.cdusec.org:8082/web1/
你需要的是发送key=cdusec666到服务器,有两种方法_
第一种是F12直接修改输入框字符串限制,输入指定字符串,就可以得到flag
第二种是构造URL请求,利用url发送指定字符串
http://ctf.cdusec.org:8082/web1/?key=cdusec666
http://ctf.cdusec.org:8082/web1?key=cdusec666
这两个链接都行,唯一的区别就是那个"/" ?是用来提交get请求的
get请求是有字符串长度限制的
详见 http://www.cnblogs.com/henryhappier/archive/2010/10/09/1846554.html
get和post区别
---恢复内容结束---
浙公网安备 33010602011771号