网安小师妹-优快云博客

原创互动交流群

关注我一起学习Linux，有疑问可以私信我，帮你解答，也可以私信我加入交流群，一起交流学习。社群中不定时会有很多活动，例如每周都会包邮免费送一些技术书籍及精美礼品、学习资料分享、大厂面经分享、技术讨论、行业大佬创业杂谈等等。不管你是多新手的小白，都欢迎你加入社群中讨论、聊天、分享，加速助力你成为下一个技术大佬！也随时欢迎您跟我沟通，一起交流，一起成长。变现、进步、技术、资料、项目、你想要的这里都会有网络的风口只会越来越大！欢迎你加入社群一个人可以或许可以走的很快，但一群人将走的更远！

2025-03-07 15:45:38 298

原创从零开始学CTF（第四十六期）

图片隐写的破解本质是 “格式漏洞 + 工具使用 + 观察力” 的结合。精通格式特性：熟悉 PNG 的块结构、JPEG 的 EOI 标记、GIF 的调色板，知道每种格式的 “冗余区” 在哪里。工具链熟练：从 Stegsolve 到 binwalk，掌握 5-8 款核心工具的常用命令，避免重复劳动。建立条件反射：看到 PNG 先查 LSB 和块结构，看到 JPEG 先看尾部和 EXIF，看到 GIF 先分析调色板和帧。

2025-08-20 07:00:00 1049

原创从零开始学CTF（第四十五期）

本文系统介绍了CTF隐写术的基础知识与应用技巧。首先阐述了隐写术与加密技术的本质区别，解析了利用载体冗余空间隐藏信息的核心原理。重点讲解了图像、音频、文档等常见载体的隐写方法，包括PNG的LSB隐写、JPEG尾部附加、音频静音区编码等实用技术。推荐了Stegsolve、binwalk等入门工具的使用方法，并通过三个典型实战案例详细演示解题流程。文章还提供了循序渐进的学习路径建议，强调培养"冗余意识"和"工具适配"两种核心思维。

2025-08-19 07:00:00 901

原创从零开始学CTF（第四十四期）

本文系统梳理了CTF隐写术的分类体系，从载体类型、技术原理和隐蔽层级三个维度进行解析。在载体类型上，将隐写术分为图像、音频、文档、压缩包和网络流量五大类，每类详解其核心特征、典型案例和破解工具；在技术原理层面，划分为替换型、生成型和扩展型三种实现方式；在隐蔽层级上，区分文件级、数据级和协议级三种深度。通过建立"分类→特征→解法"的认知框架，指导选手快速定位破解思路，如PNG图像LSB隐写对应"图像载体-替换型-数据级"分类。

2025-08-18 07:00:00 837

原创从零开始学CTF（第四十三期）

CTF隐写术技术全景解析：载体奥秘与实战解码本文系统梳理CTF竞赛中的隐写术技术体系，揭示信息隐藏的核心原理与破解方法。隐写术通过载体冗余（如图像像素、音频频谱、文件格式）实现信息隐藏，与加密技术形成互补。文章详细解析五大类载体技术：图像隐写（LSB/格式块）、音频隐写（时频域）、文档压缩包（元数据/伪加密）、流量隐写（协议字段）及跨载体组合，并构建"载体分析-技术匹配-工具提取"的标准化解题流程。

2025-08-17 07:00:00 515

原创从零开始学CTF（第四十二期）

隐写术是指通过特定技术将秘密信息嵌入公开载体（如图片、音频、文本）中，使信息的存在不被察觉的技术。加密：通过算法混淆信息内容（如 AES 加密后的密文），但信息的 “存在性” 是公开的。隐写：不改变信息内容的可读性，而是隐藏信息的 “存在”（如图片中藏文字，图片本身仍正常显示）。

2025-08-16 07:00:00 774

原创从零开始学CTF（第四十一期）

CTF竞赛中的信息隐写技术全解析：从图片、音频到网络流量，深入剖析各类载体的隐藏技巧。图像隐写包括像素级（LSB、调色板）和格式级（文件头尾附加数据）两种方式；音频隐写则利用时域（静音片段）和频域（频谱图）特性；文档与压缩包通过元数据、隐藏内容及伪加密实现；网络流量则借助协议字段传递信息。文章系统介绍了各类隐写技术的原理、识别特征及提取工具，并提供了标准化解题流程和实战案例，帮助选手建立完整的隐写分析框架。信息隐写考验选手的观察力与技术广度，是CTF中区分选手能力的重要题型。

2025-08-15 07:00:00 926

原创从零开始学CTF（第四十期）

CTF密码学竞赛中，哈希算法漏洞是重要考点。本文系统解析了MD5、SHA系列等算法的核心原理及典型漏洞，包括碰撞攻击、弱哈希爆破和长度扩展攻击三大类。实战案例展示了如何利用工具(fastcoll、hashcat等)实现文件上传绕过、权限提升等攻击。特别指出MD5已完全可碰撞，SHA-1存在实用碰撞攻击，而SHA-256等更安全但可能因实现缺陷被攻破。文章强调解题需结合算法特性和场景分析，提供从工具使用到思维进阶的完整指导，帮助选手建立系统的哈希算法破解框架。

2025-08-12 07:00:00 976

原创从零开始学CTF（第三十九期）

本文深入解析CTF竞赛中对称密码算法的实战技巧，重点剖析AES和DES的核心原理与典型漏洞。AES的ECB模式易泄露明文结构，CBC模式存在PaddingOracle风险；DES因56位密钥易被暴力破解。文章通过真实案例展示密钥爆破、模式漏洞利用等方法，强调特征识别与工具结合的重要性，如利用hashcat爆破弱密钥、padbuster自动化攻击CBC模式等。最后指出，对称密码解题关键在于快速定位算法特征、合理使用工具以及源码审计意识，这些能力是CTF密码学赛道得分的关键。

2025-08-11 07:00:00 996

原创从零开始学CTF（第三十八期）

本文系统解析CTF竞赛中常见的古典密码类型及破解技巧。主要内容包括：1）代换密码（凯撒、维吉尼亚、仿射密码）的移位原理和频率分析法；2）置换密码（栅栏、列移位）的表重组技术；3）摩尔斯电码、培根密码等符号映射类密码的解码方法。文章详细阐述了各类密码的识别特征、破解流程和实战案例，强调手工破解与模式识别能力训练的重要性，并提供了复合题型的分层破解思路和工具建议。通过建立特征库和错题复盘，帮助选手快速提升古典密码解题能力，为CTF竞赛打下坚实基础。

2025-08-05 07:00:00 1139

原创从零开始学CTF（第三十七期）

这篇文章系统梳理了CTF竞赛中常见的编码与解码技术。文章首先区分了编码与加密的本质区别，指出编码是格式转换而非加密。随后详细介绍了Base家族、URL编码、HTML实体编码、Unicode编码等高频编码类型及其特征识别方法。重点讲解了多层编码组合的破解技巧，提出"识别→拆解→验证"的解题框架，并通过实战案例展示了如何逐层解码获取flag。最后推荐了CyberChef等实用工具，强调通过大量练习建立编码特征库的重要性。本文为CTF选手提供了处理编码类题目的系统方法论。

2025-08-04 07:00:00 1125

原创从零开始学CTF（第三十六期）

《CTF密码学实战指南：从信息收集到Flag验证全流程》本文系统梳理CTF竞赛中密码学题目的标准化解题流程。首先强调信息收集的关键性，包括密文特征分析、题目提示解读和附件内容提取。随后提出算法识别的分级方法：古典密码通过字符特征判断，现代加密则依据编码方式和长度定位。在漏洞定位环节，详细列举对称/非对称加密及哈希算法的典型漏洞模式，如AES-ECB的块替换、RSA的n分解和MD5的彩虹表攻击。工具选择方面，推荐CyberChef等可视化工具与hashcat等专业工具的组合使用，并给出脚本编写建议。

2025-08-03 07:00:00 2027

原创从零开始学CTF（第三十五期）

摘要：CTF密码学中的编码/解码技术是解题关键技能，常用于隐藏Flag或作为加密预处理。文章系统解析了Base64、URL、Unicode等常见编码的原理与特征，提出"识别→分层破解→验证"的解题框架。重点探讨了多层编码的组合模式（如Base64+Hex+URL）及破解策略，推荐使用CyberChef等工具进行自动化拆解。实战案例展示三层编码的逐步解析过程，强调建立编码特征库和分层训练的重要性。编码/解码虽为基础技能，但快速识别嵌套结构的能力能有效突破CTF题目中的信息干扰层。

2025-08-02 07:00:00 732

原创从零开始学CTF（第三十四期）

本文系统解析CTF竞赛中的密码学题目类型与破解方法。主要内容包括：1）古典密码（凯撒、维吉尼亚等）的特征识别与手工破解技巧；2）现代加密算法（AES、RSA等）的漏洞利用与数学攻击；3）哈希与编码类的多层解码策略。文章通过典型例题分析，提炼了"信息提取→类型识别→方法选择→结果验证"的通用解题流程，并强调工具链构建和特征匹配的重要性。最后指出，掌握算法原理、建立题型映射表和刻意练习是提升密码学解题能力的关键，CTF竞赛是培养"算法缺陷直觉"的最佳实践平台。

2025-08-01 07:00:00 852

原创从零开始学CTF（第三十三期）

摘要：本文梳理了密码学从古至今的发展历程及其在CTFWeb赛题中的应用。从凯撒密码、栅栏密码等古典算法，到二战恩尼格玛机、现代DES和RSA，再到AES、ECC等当代加密技术，揭示了密码学"攻防对抗"的本质演变。文章重点分析了各类历史密码在CTF题目中的呈现形式，如ROT13变体、维吉尼亚密码破译、RSA低指数攻击等，并指出理解密码学历史有助于快速定位解题思路。通过实际案例演示了如何将历史加密技术与现代CTF挑战相结合，为参赛者提供"以史推今"的解题方法论。

2025-07-31 07:00:00 743

原创从零开始学CTF（第三十二期）

本文梳理了编码技术从摩尔斯电码到现代Web编码的发展历程及其在CTF比赛中的应用。19世纪的电报时代诞生了摩尔斯电码和凯撒密码等原始编码；计算机时代催生了ASCII、Base64等二进制编码标准；互联网时代则发展出URL编码、Unicode等Web专用编码方式。在CTF解题中，这些编码技术既是常见考点，也反映了信息安全领域"效率与安全"的永恒博弈。文章归纳了各类编码的特征识别技巧和多层解码策略，强调理解编码历史背景对提升解题能力的重要性。

2025-07-30 10:39:50 788

原创从零开始学CTF（第三十一期）

CTFWeb密码学基础：从核心概念到实战应用摘要：本文系统梳理了CTFWeb竞赛中的密码学基础知识体系，涵盖编码与加密的本质区别、对称加密（AES/DES）与非对称加密（RSA）的工作原理、哈希算法特性及安全性评估标准。重点解析了ECB/CBC等加密模式的特点、RSA密钥参数计算、常见哈希漏洞（如MD5碰撞）等CTF高频考点，并通过Base64多层解码、AES弱密钥爆破等实战案例演示解题思路。

2025-07-28 07:00:00 757

原创从零开始学CTF（第三十期）

编码虽不属于加密，但常被用作 “初级防护”，其缺陷多源于解码逻辑漏洞。Base64 编码核心特性：将二进制数据转换为 64 个可打印字符（A-Z、a-z、0-9、+、/），末尾用 = 填充，常用于传输二进制数据（如图片、Session）。CTF 高频漏洞多层编码。

2025-07-27 07:00:00 995

原创从零开始学CTF（第二十九期）

《CTFWeb安全实战：应用环境漏洞解析与利用》摘要 CTF竞赛中，Web应用环境是漏洞滋生的关键场景。本文系统剖析了服务器（Apache/Nginx/IIS）、脚本语言（PHP/Python/Java）、数据库（MySQL/MongoDB/Redis）等组件的安全特性与版本差异，揭示如Apache解析漏洞、PHP危险函数、数据库弱口令等高频考点。通过Docker环境搭建实战，演示了从环境配置审计到漏洞利用的完整链条，包括文件上传绕过、SSTI注入、未授权访问等攻击手法。

2025-07-26 07:00:00 754

原创从零开始学CTF（第二十八期）

本文系统讲解了CTF比赛中Web代码审计的核心技能。首先强调了代码审计在突破逻辑漏洞、挖掘隐藏漏洞中的关键作用，指出70%的中高难度Web题目需要代码审计解决。文章详细拆解了审计流程，包括信息收集、环境搭建、输入点跟踪和漏洞验证，并针对PHP、Python、Java等不同语言分析了典型漏洞模式。同时介绍了Seay、Bandit等自动化工具的使用方法，以及手工审计的变量追踪、逻辑分支覆盖等技巧。最后通过PHP越权访问和Python加密缺陷两个实战案例，展示了如何从源码中发现并利用漏洞。文章建议通过多语言学习、

2025-07-25 07:00:00 871

原创从零开始学CTF（第二十七期）

《CTF Web安全：SQL注入攻防全指南》摘要 SQL注入作为CTF赛事高频考点（占Web题型25%-35%），其重要性体现在实战迁移价值和技术覆盖广度。本文系统解析：①注入原理（用户输入被执行为SQL代码）及5大类型（显错/盲注/二次/堆叠/WAF绕过）；②手动注入四步法（探测/字段判断/信息获取/数据提取）与盲注技巧；③sqlmap自动化工具实战及MySQL/Oracle等数据库差异；④WAF绕过9种策略（编码/注释分割/HTTP头注入等）。

2025-07-24 07:00:00 653

原创从零开始学CTF（第二十六期）

HTTP 协议是 CTF Web 安全的 “通用语言”，其每一个细节都可能藏着漏洞线索或突破点。掌握 HTTP 协议不仅需要理解其技术规范，更要在实战中培养 “流量分析思维”—— 从每一个请求头、每一个参数、每一个状态码中挖掘信息。工具熟练度：将 Burp Suite 的快捷键（如Ctrl+R发送到 Repeater）练成本能，减少操作时间。流量对比分析：对同一功能的不同请求（如登录成功 vs 失败）进行详细对比，找出关键差异。协议细节深挖。

2025-07-23 07:00:00 869

原创从零开始学CTF（第二十五期）

摘要： CTFWeb安全实战中，信息收集是解题的关键突破口，60%的Flag线索可通过系统化收集获取。本文从资产测绘（子域名挖掘、端口扫描）、Web深度探测（目录爆破、源码审计）到技术栈匹配（漏洞关联、配置缺陷分析），构建全维度信息链。实战案例揭示隐藏路径（如/.git泄露）、注释线索（Base64编码提示）及权限绕过技巧，并强调人工分析优于盲目工具扫描。通过定制化字典、动态接口抓包及WAF绕过策略，高效定位漏洞点。信息收集的深度直接决定解题效率，是CTF选手必须掌握的“攻击前哨”。

2025-07-22 15:58:07 1114

原创从零开始学CTF（第二十四期）

CTF Web 安全实战是 “技术深度” 与 “实战经验” 的结合体。从单一漏洞利用到复杂攻击链构建，从工具辅助到手动调试，每一步都需要扎实的技术积累与灵活的思维。通过本文的学习，你已掌握 Web 实战的核心流程与技巧，但真正的提升需要在靶场（如 DVWA、Hack The Box）和真实 CTF 赛事中反复演练。记住，Web 安全的本质是 “信任边界的突破”—— 理解应用的信任逻辑（如 “用户输入可信”“权限校验无误”），找到并利用信任链中的薄弱环节，才能在 CTF 实战中高效夺取 Flag。

2025-07-21 07:00:00 911

原创从零开始学CTF（第二十三期）

扫描工具是 CTF 信息收集的 “基石”，但其价值并非单纯的自动化，而是通过精准的信息输出，为漏洞利用提供明确方向。优秀的 CTF 选手能根据题目场景选择合适的扫描工具，平衡扫描深度与时间成本，避免陷入 “为扫描而扫描” 的误区。核心工具组合：Nmap（端口扫描）+ Dirsearch（Web 目录）+ WhatWeb（技术栈识别），这三个工具能覆盖 80% 的 CTF 扫描需求。字典定制。

2025-07-20 07:00:00 852

原创从零开始学CTF（第二十二期）

自动提取页面注释脚本自动扫描页面注释中的关键信息，适合快速定位提示。批量测试参数编写脚本对 URL 参数进行常见 Payload 替换（如id=1→id=1'、id=1 OR 1=1），自动发送请求并记录异常响应，提升漏洞扫描效率。Firefox 在 CTF Web 解题中的价值，不仅在于其作为浏览器的基础功能，更在于其工具链与插件生态形成的 “攻防一体化” 能力。从前端代码审计到请求修改，从加密算法逆向到漏洞利用，Firefox 能无缝衔接每一个解题环节。熟练掌握开发者工具。

2025-07-19 07:00:00 886

原创从零开始学CTF（第二十一期）

摘要： BurpSuite是CTF竞赛中Web赛道的核心工具，集代理、扫描、攻击、解码等功能于一体，覆盖Web安全测试全流程。其核心模块包括Proxy（流量拦截）、Intruder（自动化爆破）、Repeater（精细调试）及Decoder（数据解码），适用于SQL注入、越权访问等漏洞利用。高级技巧如插件扩展（Logger++、JWTEditor）、会话管理（动态参数处理）和快捷键操作可显著提升效率。

2025-07-18 07:00:00 970

原创从零开始学CTF（第二十期）

sqlmap 是 CTF Web 赛道的 “利器”，但其价值不仅在于自动化，更在于帮助选手快速验证注入思路，聚焦漏洞利用逻辑。在实战中，需平衡工具效率与手动分析，理解 SQL 注入的底层原理（如UNION查询、BOOLEAN判断），避免沦为 “工具操作员”。通过本文的学习，你已掌握 sqlmap 的核心用法、实战技巧和绕过策略，下一步需在靶机和 CTF 比赛中反复演练，形成 “工具辅助 + 原理驱动” 的解题思维。

2025-07-17 07:00:00 580

原创从零开始学CTF（第十九期）

CTF 安全工具是解题的 “加速器”，但工具的价值取决于使用者的技术深度。从信息收集到漏洞利用，从代码审计到密码破解，每类工具都有其独特优势，而高手的核心能力在于：根据题目场景快速选择合适工具，组合形成攻击链，并在工具失效时用手动方法突破。学习工具的终极目标是 “为我所用”—— 既不被工具限制思路，也不排斥工具的效率优势。通过大量实战练习，将工具内化为解题直觉，才能在 CTF 竞赛中应对自如，最终夺取旗帜。

2025-07-16 07:00:00 1038

原创从零开始学CTF（第十八期）

Python 环境在 CTF 中覆盖范围广、漏洞类型多，既是新手入门的 “练兵场”，也是高手竞技的 “主战场”。掌握 Python 环境的搭建方法、典型漏洞原理及利用技巧，不仅能在 CTF 竞赛中高效夺旗，更能培养对代码安全的敏感度 —— 这种能力在实际网络安全工作中同样至关重要。未来，随着 Python 生态的持续发展（如 PyPy 的 JIT 编译、Rust-Python 的内存安全），CTF 中的 Python 题目也将呈现新的趋势。

2025-07-15 09:50:47 932

原创从零开始学CTF（第十七期）

《CTF竞赛中的Java环境攻防全解析》摘要：本文系统剖析了CTF竞赛中Java环境的核心特点与攻防技术。Java环境因其复杂的生态体系成为CTF重要考点，涉及Struts2、Spring等框架的多种漏洞类型（反序列化、命令执行、SQL注入等）。文章详细介绍了三种环境搭建方案（虚拟机/Docker/云服务），重点解析了反序列化漏洞利用链构造、Struts2 OGNL表达式攻击等关键技术，并通过S2-045漏洞实战案例演示攻击流程。

2025-07-14 07:00:00 1106

原创从零开始学CTF（第十六期）

摘要： CTF竞赛中PHP环境因其广泛性、漏洞丰富性成为Web题目核心考点。本文系统解析CTF-PHP环境搭建（含LAMP栈与Docker多版本部署）、关键php.ini配置（如allow_url_include），并详解四大漏洞：文件包含（LFI/RFI）、SQL注入、文件上传绕过技巧及命令执行。通过实战案例（如文件包含直接读flag、上传+包含组合利用）演示攻击链，同时提供输入过滤、安全配置等防御策略。建议通过内核学习、CTF平台实战及跟踪安全动态提升攻防能力，助力选手高效应对PHP题型。

2025-07-13 07:00:00 1462

原创从零开始学CTF（第十五期）

摘要： CTFWeb安全实验环境是提升技术能力的关键工具，本文系统介绍了从基础到实战的环境搭建方法。内容涵盖：1）虚拟机选择与基础Web服务部署（Apache/Nginx、MySQL/PHP）；2）单一漏洞环境搭建（SQL注入、XSS、文件上传）；3）综合漏洞链场景构建（SSRF+内网渗透、逻辑漏洞）；4）进阶优化（WAF绕过、Docker容器化）。通过真实漏洞模拟、隔离网络配置和工具集成，帮助学习者循序渐进掌握Web安全攻防技能，并支持CTF题目复现与自定义开发，为竞赛和实战提供有效训练平台。

2025-07-12 07:00:00 2742

原创从零开始学CTF（第十四期）

本文系统梳理了CTF竞赛中Web安全赛道的核心价值与技术体系。作为网络安全人才培养的重要平台，CTF Web安全涵盖前端XSS/CSRF、后端框架漏洞、SQL注入、服务器配置等关键技术点，具有贴近实战、技术覆盖面广的特点。文章详细解析了Web安全的解题方法论，包括信息收集、漏洞定位、Payload构造等关键步骤，并提出了分阶段学习路径。随着云原生、微服务等技术的发展，Web安全面临新挑战，需持续关注技术演进。CTF训练不仅能提升漏洞挖掘能力，更能培养安全防御思维，对职业发展具有重要价值。

2025-07-11 07:00:00 755

原创从零开始学CTF（第十三期）

《CTFWeb安全深度剖析》系统梳理了CTF比赛中Web安全的核心知识点。文章从Web应用架构与HTTP协议基础入手，详细解析了SQL注入、XSS、文件上传、命令注入等常见漏洞原理与利用方法，并深入探讨了SSRF、CSRF等进阶漏洞。同时提供了防御策略与实战解题思路，包括信息收集、漏洞探测和利用链构建等技巧，辅以经典案例演示。文章强调理解数据流、寻找输入点的核心思路，指出持续学习新技术和保持对细节的敏感性是提升Web安全攻防能力的关键。

2025-07-10 07:00:00 1164

原创从零开始学CTF（第十二期）

Mellivora是一个轻量级开源CTF竞赛平台，基于PHP和MySQL开发，具有部署简单、性能优异和模块化设计等特点。本文详细介绍了Mellivora的搭建流程：从LAMP/LNMP环境准备、源码获取与配置，到数据库初始化、管理员账户创建；从赛事基础设置、题目管理、用户权限配置，到安全加固与性能优化措施。平台支持动态分值、团队模式等功能，可通过插件扩展定制化需求。文中还提供了高校CTF训练平台的实战案例，展示了Mellivora在小型赛事中的实际应用。

2025-07-09 07:00:00 761

原创从零开始学CTF（第十一期）

《CTFd环境搭建全攻略》摘要：本文详细介绍了开源CTF比赛平台CTFd的环境搭建流程。CTFd基于Python Flask框架，支持多种题型和插件扩展，具备用户管理、题目管理、计分排行等核心功能。搭建过程涵盖硬件准备、软件环境配置（Python、数据库、Web服务器）、源码部署、功能配置（用户/题目管理、计分系统）及安全优化等内容。文章还提供了插件扩展方法和性能优化建议，帮助读者快速搭建安全稳定的CTF竞技平台，适用于各类赛事组织和训练需求。通过逐步指导，用户可完成从基础搭建到高级定制的全流程操作。

2025-07-08 07:00:00 944

空空如也

空空如也