CTF-web题型知识随记?

最新推荐文章于 2025-07-28 15:51:45 发布
原创 最新推荐文章于 2025-07-28 15:51:45 发布 · 944 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文总结了CTF web题目的常见工具,如御剑、AWVS,以及解题策略,包括查看源代码、HTTP数据包分析。重点介绍了php弱类型在 strcmp 中的利用,如通过数组trick绕过比较。还讨论了绕过WAF的方法,如大小写混合、编码转换。此外,提到了一些加密解密技巧,如base64多次加密、摩尔斯电码和栅栏密码的应用。

文章目录

工具集

在这里插入图片描述
御剑:网站后台
AWVS:扫描web漏洞
在这里插入图片描述

常用套路总结

1.查看源代码
2.查看HTTP数据包
http请求/响应
使用抓包工具burpsuite查看HTTP请求/相应头部
3.修改或添加HTTP请求头伪造客户端信息
在这里插入图片描述
4.web源码泄露
(1)vim源码泄露(线上ctf常见)
思路:如果发现页面提示有vi或vim,说明swp文件泄露
地址: /.index.php.swp 或 /index.php~
恢复文件:vim -r index.php
(2)备份文件泄露
地址: index.php.bak,www.zip,wwwroot.zip,htdocs.zip,
可以是zip,rar,tar.gz,7z等
在这里插入图片描述
5.编码和加解密
base64多次加密:

最低0.47元/天 解锁文章
hello@kitty
关注
CTF解题-web
qq_42936836的博客
08-24 6116
记录的一些CTFweb题目~~~
CTF web题日常积累——代码审计题型
zhy的博客
03-27 4931
1.变量1 题目来源: https://ctf.bugku.com/challenges 这是一个入门的代码审计题,难度不大,主要在于看代码逻辑和正则。 题目链接直接打开便是一段php源码,直接观察这个代码。明显可以看到一个正则表达式,这个正则表达式意为匹配都是字母的串。 而这里明显光是正则表达式是不够的,继续仔细看,在最后有一个$$...
CTF web安全经典例题讲解
10-22
该内容为CTF赛题web安全经理例题讲解,包含sql注入,密码学、文件上传,提权、抓包改包等多种题型讲解,图文结合,适合新手学习。
CTFWeb题目的各种基础的思路-----入门篇十分的详细
m0_64815693的博客
09-13 5万+
想学习CTF-web这里给你一个思路,给你一个方向
CTFWeb题目的常见题型及解题方法
徐徐徐的博客
09-09 5019
双写顾名思义就是将被过滤的关键字符写两遍,比如,如果要添加XSS Payload,又需要插入标签,就可以构造如下的Payload:来绕过对标签的单次过滤限制。如果过滤了某个必须要用的字符串,输入的内容是以GET方式获取的(也就是直接在地址栏中输入),可以采用url编码绕过的方式。SQL注入是一种灵活而复杂的攻击方式,归根结底还是考察对SQL语言的了解和根据输入不同数据网页的反应对后台语句的判断,当然也有sqlmap这样的自动化工具可以使用。
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
### CTF-All-In-One 超全学习文档资料
04-13
内容概要:本文档《ctf-all-in-one.pdf》是一份全面的CTF(夺旗赛)学习指南,涵盖了CTF的基础知识、各类题型、常用工具、高级技术和实战技巧。文档首先介绍了CTF的概念及其发展历史,解释了CTF比赛的形式和规则,...
CTF-Web-Challenges:一个主页上的一组 4 个 CTF Web 挑战
07-12
CTF-Web-挑战 一个主页上的一组 4 个 CTF Web 挑战 私下给我发消息(出于显而易见的原因,我不会公开发布解决方案 [:) 以获取有关 4 个级别中每个级别的信息,即它们究竟是什么,我对每个级别的解决方案,或者它们...
CTF-Web学习笔记:SQL注入篇
最新发布
Deng7326的博客
07-28 1425
本文系统梳理了CTF竞赛中SQL注入的核心原理与实战技巧。首先介绍了SQL注入的基础概念和成因,即用户输入数据被直接拼接到SQL语句中执行。其次分类解析了CTF常见的注入类型,包括数字/字符串型注入、报错/盲注/联合查询等攻击方式。文章重点分享了实战经验:如何判断注入点、确定数据库类型、使用工具辅助及绕过WAF防御。最后通过一道报错注入题目,详细演示了从数据库名获取到最终拿Flag的完整解题流程,并推荐了SQLiLabs等练习平台。
CTFweb方面题型有哪些?
lz5217x的博客
03-23 1499
CTF中的Web题型涵盖了Web应用的各种漏洞和攻击手段,参赛者需要掌握SQL注入、XSS、CSRF、文件包含、命令注入、目录遍历、代码审计、SSRF、XXE、逻辑漏洞等知识,才能在比赛中快速找到并利用漏洞获取flag。• 题型描述:通过发现Web应用的配置错误(如错误的文件权限、未关闭的调试模式等),获取敏感信息或权限。• 题型描述:通过构造恶意SQL语句,攻击Web应用的数据库,获取敏感信息(如用户数据、flag等)。• 发现文件包含漏洞(如`include`、`require`函数)。
ctfweb题型总结大全(例题wp都有)
04-17
欢迎关注hacking水友攻防实验室,更多内容都在微信公众号
CTF-Web小白入门篇超详细——了解CTF-Web基本题型及其解题方法 总结——包含例题的详细题解
热门推荐
日熙的博客
09-29 17万+
上次经过一次比赛的打击,决定不能只是一直盲目的刷基础题,应该加快进度,从各种基本题型开始下手,每种题型都应该去找题目刷一刷,并做好总结,于是乎决定写下这篇文章。之后会边做题边更新,欢迎各位大佬指教。 本文目录基础知识类题目总结:具体题型包括:HTTP头相关的题目Git源码泄露Python爬虫信息处理PHP代码审计(重要!!!)XSS题目绕过wafSQL注入 基础知识类题目 总结: 1.是最基本...
web_ctf 题型总结
qq_42812036的博客
09-28 6729
title: web ctf总结 date: 2018-05-30 tags: categories: webctf ctf 常见套路总结01、 工具集02、 常用套路总结003、 php弱类型004、 绕 WAF 01、 工具集 基础工具 -Brupsuite -Python -Fiorefox 扫描工具 -御剑 -Nmap -AWVS 文件上传工具 -菜刀、ck...
CTF比赛中web安全题型讲解
白帽子凯哥聊黑客
12-11 4541
CTF(Capture The Flag)竞赛中,Web安全题目是测试参赛者对Web应用漏洞利用和防御能力的重要环节。
CTF---Web入门第十三题 拐弯抹角
weixin_34167819的博客
11-19 273
拐弯抹角分值:10 来源: cwk32 难度:易 参与人数:5765人 Get Flag:2089人 答题人数:2143人 解题通过率:97% 如何欺骗服务器,才能拿到Flag? 格式:CTF{} 解题链接: http://ctf5.shiyanbar.com/10/indirection/ 原题链接:http://www.shiyanb...
CTF wed安全(攻防世界)练习题_ctfweb题目
Innocence_0的博客
05-24 1171
进入网站如图:翻译:在这个小小的挑战训练中,你将学习Robots exclusionstandard。网络爬虫使用robots.txt文件来检查它们是否被允许抓取和索引您的网站或只是其中的一部分。有时这些文件会暴露目录结构,而不是保护内容不被抓取。好好享受吧!**步骤一:**进入robots.txt文件,如图:**步骤二:**得到/f10g.php,在进入这里面得到flag提交即可成功!!!
CTF简介和题目类型简介
2201_75362610的博客
03-08 1468
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。
CTF常见题型
citytwilight的博客
07-17 3888
CTF常见题型 CTF比赛通常包含的题目类型有七种,包括MISC、PPC、CRYPTO、PWN、REVERSE、WEB、STEGA。 1.MISC(Miscellaneous)类型,即安全杂项,题目或涉及流量分析、电子取证、人肉搜索、数据分析等等。 2.PPC(Professionally Program Coder)类型,即编程类题目,题目涉及到编程算法,相比ACM较为容易。 3.CRYPTO(Cryptography)类型,即密码学,题目考察各种加解密技术,包括古典加密技术、现代加密技术甚至出题者自创加
CTFweb题型
qq_35033983的博客
11-17 1万+
web题型总结
ctf-web-知识
03-14
### CTF Web知识总结 CTF(Capture The Flag)中的Web部分主要涉及Web应用的安全性和漏洞利用技术。以下是关于CTF竞赛中常见的Web相关知识点的总结: #### 1. 基础概念 - **Content-Type**: 它是一个HTTP头字段,用来指示资源的内容类型以及编码方式[^1]。例如,在处理文件上传时,服务器会通过`Content-Type`来判断接收到的数据是什么类型的文件。 ```http Content-Type: application/json; charset=UTF-8 ``` - **常见攻击面**:Web应用程序通常存在多种潜在的攻击向量,比如SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造等。 #### 2. SQL Injection (SQL注入) - 当输入数据未被正确验证或转义时,恶意用户可以通过构造特定的SQL语句执行未经授权的操作。防止方法包括使用参数化查询或者ORM框架[^2]。 #### 3. Cross-Site Scripting (XSS, 跨站脚本攻击) - XSS允许攻击者将恶意代码嵌入到其他用户的浏览器上下文中运行。分为存储型XSS、反射型XSS和DOM-based XSS三种类型。 #### 4. Cross-Site Request Forgery (CSRF, 跨站请求伪造) - 攻击者诱导受害者访问一个链接,从而让受害者的浏览器自动发送已认证过的请求给目标网站。防御措施可以采用Anti-CSRF Tokens机制。 #### 5. File Inclusion Vulnerabilities (文件包含漏洞) - 如果程序动态加载外部文件而没有适当过滤,则可能导致本地/远程文件包含问题。这可能泄露敏感信息甚至执行任意命令。 #### 6. Command Execution & Code Evaluation Flaws (命令执行&代码评估缺陷) - 应用如果直接执行来自前端未经严格校验的指令字符串就容易遭受此类威胁。应避免不必要的功能暴露并实施严格的白名单策略。 #### 7. Session Management Issues (会话管理问题) - 不当的session token生成与维护可能会造成账户劫持风险。建议采取强随机数算法创建token,并设置合理的过期时间。 #### 8. Authentication Bypass Techniques (身份验证绕过技巧) - 需要关注弱密码恢复流程、多因素认证旁路等问题以保护系统的安全性。 #### 9. Information Leakage and Improper Error Handling (信息泄漏及错误处理不当) - 过度详细的错误消息可能帮助黑客理解内部结构进而策划更有效的进攻手段;因此应该隐藏这些细节仅保留必要提示。 #### 10. Security Misconfigurations (配置失误) - 错误配置数据库权限、防火墙规则或者其他服务端组件都可能是致命弱点所在。定期审查环境设定至关重要。 --- ### 示例代码片段展示如何防范SQL注入 下面给出Python Flask框架下预防SQL注入的一个简单例子: ```python from flask import Flask, request import sqlite3 app = Flask(__name__) @app.route('/safe_query') def safe_query(): user_id = request.args.get('id', '') conn = sqlite3.connect(':memory:') cursor = conn.cursor() # 使用占位符?代替直接拼接字符串的方式构建查询 query = "SELECT * FROM users WHERE id=?" result = cursor.execute(query, (user_id,)) data = result.fetchall() return str(data) if __name__ == '__main__': app.run(debug=True) ``` 此段代码展示了通过预编译语句有效阻止了传统意义上的SQL注入尝试。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值