CTF萌新入坑指南（web篇）（21.6.5已更新）

图文来自Spirit现役最菜web选手k1ling

20.10.21 ——最近忙的要死，校赛被锤爆，,然后课设又要结项，那几天肝代码到很晚，累die，然后答辩，被老师安排的明明白白（还好4.0了 不然亏死），几天才缓过来，终于抽出时间来想一想写一写校赛的一些经验和教训 当时做的一塌糊涂 完全只能靠杂项得分 感觉最基本的东西很多不会或者说没有掌握精髓 现在完全不敢说自己是个web选手 还好队友比较给力搞了个crypto的一血 不至于那么丢人

（这期补充了学习平台的介绍以及入门的一些经验还有两个例题)
20.12.15 ----打完第一次线下final，除了再一次深切的体会到我与大佬之间的差距之外，也发现了自己认识不成熟的地方，所以做了一点修改

21.6.5 时隔半年我终于又来填坑了，经历了第一次渗透测试实战之后，对于web又有了一点新的理解和想法。

菜狗哭泣，各位大佬请划走吧

github连不上了，我又爬回了csdn

个人简介

GET /index.php HTTP/1.1
User-Agent: k1ling/1.0(@Spirit青训)
Host: girl_friend
Connection: keep-alive
X-Forwarded-For: 127.0.0.1
Content-Lenth: 38
Content-Type: html/text

a_web_player_who_don’t_has_girl_friend

前言

大部分web选手如果选择做一名安全从业者，最终归宿仍然是渗透测试。
ctf中的web更多是对技术水平的提高和知识点的积累，加以一定的实战经验，大致上可以在各种情境下都能够有应对的手段。
总的来说，前中期的web难度相对并不那么大，也正因此一支强队必然需要水平较高的web选手作为支撑，不管是ctf模式还是awd模式，web都占到了较大一部分的比例。
但是起到决定作用，一锤定音的还是pwn。
举个栗子，2021虎符
两个web一共50+pt（虽然都是很基础的题），两个pwn400pt。。。。

准备工作

web方向的工具还是很多的，这里推荐几个常用的神器

burp suite

burp 是一款web领域的跨平台工具，集成了代理、重放、暴力破解、解码等等多个模块，模块之间共享http消息框架来实现共享信息，大大提高了解web题目的效率。

条件：需要预装java环境
下载地址：get到burp的途径有两种，一种是官网，官网的burp有两种版本，一个社区版一个专业版（pro），pro的功能更加强大当然也需要付费，具体费用是199还是299刀一年来着
另一种方式便是…

sqlmap

sqlmap是一款开源的渗透测试工具，可以自动检测并利用sql注入漏洞，配备有十分强大的检测引擎。

条件：预装python环境，官网下载即可
下载地址：官网即可 sqlmap是开源的不会收费 但是网上的其他版本可能会留有后门，保险起见官网下载，地址在下面
链接: link.

关于具体安装与环境配置，网上也有很多教程，不再赘述。

（这里多插一嘴，做sql注入不能过度依赖sqlmap，而且一般来说sql的题目sqlmap用的并不多，因为出题人不会送你一个白给的注入点）

kali linux

（俗话说，kali学得好，牢饭吃得早）
linux系统无论是在操作指令方面还是程序编写方面都有着不俗的效率，因此每位ctfer都应该有一套自己的linux虚拟机，debian，ubuntu都是不错的选择，但是对于web选手而言，我着重推荐kali，因为kali内置了一套十分完整的渗透工具，包括我们先前提到的sqlmap，burp社区版，nmap，wireshark等等，一键集成，方便快捷！

条件：vmware kali镜像文件（.iso）
简单说，vmware是一个提供虚拟机安装测试环境的软件，而镜像文件就相当于你要安装的系统，将镜像文件安装并配置到vm中就得到了一台虚拟