# CTF入门计划
写在前面
\[{\large \mathcal{ 伟大的征程从此开始!} }
\]
-
参考
-
西电CTF指北
WEB
Intro
在 CTF 竞赛中,WEB 也是占比重很大的一个方向之一。
WEB 类的题目包括但不限于:SQL 注入、XSS 跨站脚本、CSRF 跨站请求伪造、文件上传、文件包含、框架安全、PHP 常见漏洞、代码审计等。
前置知识
标准的OSI七层模型(了解tcp)
了解 "协议"(例如http,https,ftp,gopher,也需要了解php伪协议)
请求方法(get/post)
请求内容(json/raw/binary)
请求头(content-type/xff/referer/cookie)
基础函数知识:
python: Flask, Django, Tornado
java: Spring Boot
http是无状态协议,需要储存处理用户信息需要:
cookie
session
jwt
有时会涉及到用户信息伪造,例如flask框架下的session伪造,通过获取(或者弱口令爆破)secret_key来伪造 一个session,通常需要自己写脚本(或者获取GitHub现成的脚本改一改使用)
xxe(xml外部实体攻击 libxml 2.8.0以下)
php反序列化(包括了解其中的魔术方法)
pickle反序列化(可能会有r指令过滤不过涉及出题不多)
java反序列化(pop链)
资源
- 工具:Burpsuite、VMware - Kali Linux、Sqlmap、御剑后台扫描、蚁剑、Hackbar-V2、FoxyProxy、Disable JavaScript、 ...
- 平台:BuuCTF、CTFshow、Bugku、vulnhub ...
题目索引
Reverse
?施工中...?