CTF笔记【一】

CTF笔记【一】

最近公司组织了一次为期两个小时的CTF培训，主要是讲一些思路。虽然没什么干货，不过积累总是好的。

* 做题逻辑：

根据分值来判断题目难易程度，在有限时间里可以舍弃认为有坑或者做不出的题目，如果队伍中某个人有信心能够做出最高分的题，可以给他足够多的时间先做分值高的题，毕竟高分题拉分，分值低的题到后面不会浪费很多时间，但是如果比赛规定第一名做出的人有加分，那肯定先抢低分题。

* 准备工具：

扫描器（CTF需要的是足够多的信息收集，出题人不会让你花很长时间扫描，可能在题目中会有提示，扫描以小型扫描器为主，一个人使用大型扫描器），burpsuite，sqlmap，菜刀，python。

* 一些思路： 1. 查看源码，在CTF里面是最重要的方式之一，是基础 2. HTTP协议 3. HTTP头修改，包括IP地址，浏览器信息（有时候题目只允许使用某浏览器）来源 4. sqlmap的tamper要了解，一般比赛waf关键字不会很难，常规绕过，输入关键字符select等，可以大小写转换，url编码，能用盲注的肯定可以用报错注入，报错注入的payload可以在网上先记下来。 5. robots.txt文件 6. 扫描不要占用很长时间 7. 可以多带一个电脑，插线板，网线 8. 一般CTF用古典型加密，带一个识别密文的工具 9. 返回包的响应头可能有提示信息 10. burp里面提交某数据，可以是get，post或者在头部字段 11. php审计，php大部分是函数漏洞 12. 关注最新漏洞

大概就是酱紫，还木有实践过，不能保证都是正确的，有问题欢迎指正~~~最近也报名了某ctf比赛，先试试水。另外要是有什么好的学习ctf的网站或者资料欢迎分享哇ο(=•ω＜=)ρ⌒☆

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。