CTF Web题的工作流

最新推荐文章于 2024-05-31 10:59:44 发布
原创 最新推荐文章于 2024-05-31 10:59:44 发布 · 572 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了进行Web应用渗透测试的详细步骤,包括识别网站技术栈、理解网站工作原理、测试常见目录和文件、检查源文件和HTTP包。通过分析源代码、HTTP头信息和使用工具如Burp Suite,可以发现潜在的安全漏洞。此外,作者强调了保持清晰的笔记模版和不断积累经验的重要性。
部署运行你感兴趣的模型镜像

文章目录

采用工作流的方式,让自己减少失误。避免出现在简单题耗费大量的时间。

  • 疏忽大意
  • 收集信息不齐

1 信息搜集

1.1 这个网站使用了技术

这个问题是非常有必要的,在 Python 中的模版注入会多于 PHP 中。

可以使用网页的拓展来测试属于什么语言,例如类似下面的拓展:

  • index.php
  • index.html
  • index.cgi

如果不起作用,可能采用了类似 Django 的 URL 分离的技术。

我们还可以根据网站的 404 页面来确认自己的猜想,404 页面还可以获取到 web server 的信息。即访问一个不存在的地址 /THIS_PAGE_DOESNT_EXIST,判断网站使用了 Apache 还是 Nginx?

另外,Web server 还可以通过网站的响应头获得。

最后,还可以考虑使用 Chrome 插件 Wappalyzer 来识别网站所使用的技术。

1.2 理解网站是怎么工作的

在这一阶段,我们需要了解 Web 应用程序是怎么工作的。有哪些功能可以使用?如何使用这些功能?

浏览整个网站过后,想象网站的代码大致是怎样的?网站提供的功能容易出现哪些漏洞?

1.3 测试常见的目录和文件

在国外,CTFs 通常不允许使用自动化的扫描工具,网站的目录通常是显而易见的。

但在国内,最好多收集一点字典和拓展后缀,指不定来个 .index.php.swo.listing

最好的路径爆破工具:burpsuite,不接受反驳。

1.4 检查源文件和请求头

1.4.1 源文件

分析每一个文件(HTML, JavaScript, CSS),获得有趣的注释、隐藏的特性、奇怪的脚本。我通常使用 burpsuite 来分析源码和请求头。

Note:CSS 文件也需要进行审计,可能通过 background 语句包含其他链接。

1.4.2 HTTP包审计

当经过每个文件的时候,检查请求和响应头是否有不正常的内容。

Note:你CTF题做得越多,你就越能确定什么是重要的,什么不是。

1.5 笔记模版

简单而清晰的模版,能让人快速找到信息之间的联系。

Backend : 
- Server : Apache 2.4.6 (CentOS)
- Language : PHP

Webapp description :
- The app is a messaging system, you can send messages to specific users and read messages.

Site map :
- /register.php (GET/POST)
- /login.php (GET/POST)
- /read_message.php (GET)
  - /read_message.php?messages=2 (GET)
- /send_message.php (GET/POST)
- /users.php (GET)
- /admin (Unauthorized)

- /js/ (Directory listing enabled)
- /css/ (Directory listing enabled)
- /images/ (Directory listing enabled)

Interesting Headers :
- Access-Control-Allow-Origin: http://127.0.0.1:9876

附录

参考文章:

  • https://github.com/Corb3nik/Web-Exploitation-Workflow#ctf-tactics

您可能感兴趣的与本文相关的镜像

Python3.9

Python3.9

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

BUUCTFweb手之旅
m0_52880296的博客
06-07 435
EasySQL: 1.首先看到这个先想到的肯定是学长们之前讲过的万能密码 但是得到结果是2.检查原因是输入的万能密码错误 我们可以使用语句username=admin’or’1’=‘1&password=admin’or’1’='1 得到flag Havefun: 1.打开环境发现全是静态链接 2.F12打开控制台查看源码 发现可疑代码 3.这是一个PHP代码,我们以GET传参cat,直接输出cat的值,如果cat的值为dog则将直接输出Syc{cat_cat_cat_cat} 接着我们使用php语
CTF萌新入坑指南(web篇)(21.6.5已更新)
kingdring的博客
09-27 6251
ps:其实在写这篇入坑指南的时候内心还是十分挣扎的,毕竟大佬太多而我自己太太太太菜,然鹅我也不好拒绝温柔善良的郑童鞋的邀请,因此这篇文章只面向最最最新的萌新,各位大佬请自行忽略 前言 webctf里面占到的比重还是蛮大的,从国内有ctf赛事以来,web就一直是各 路出人的宠儿,就比如说前段时间的某次分区赛初赛目构成是7pwn 7web 1re 1misc,虽然在我看来这个目分配过于偏激且离谱了,但是足以看出webctf中的重要性,线下赛pwn佬可能更加关键,不过web手对于每个队伍都是
CTF每日一 | Web 后台
qq_42646885的博客
07-11 2075
打开网页如下:简单的字母提示和一个按钮。 点击按钮,页面出现提示:Only Member with Admin rights is allow to enter。意思是只能以管理员身份进入网站后台。 用brupsuit抓包,看看数据包的发送情况: 返回的数据包中设置了cookie的值,Member的值经过了base64加密。在burpsuite的decoder模块解码——>...
ctf python大法好_247CTF的9个web目分析
weixin_39558317的博客
02-23 1394
最近朋友推荐几个web目,都是这个平台的,感觉有些目还不错,web有十个,有一个要用机器学习识别验证码,就没搞,就写了九个,还是学到了一些骚思路的,还是太菜了HELICOPTER ADMINISTRATORS——Hard考点从XSS入手,利用SSRF去访问后端的一个有SQLite注入的查询服务XSS=>SSRF=>SQLite注入描述This applications admini...
微服务链路追踪——skywalking
拾忆的博客
09-22 7156
前言         skywalking是分布式系统的应用程序性能监视、分布式链路追踪工具,跟听云、博瑞等一系列服务器监控组件服务类似,开源的相关类似组件有zipkin、pinpoint等,由于笔者所在项目组准备升级springcloud,缺少相关链路监控组件,而zipkin属于springcloud1.0相关,因此暂时选择调研skywalking并对其进...
ctf web 找flag夺旗赛概述、原理及应用.pdf
05-13
### CTF Web 找flag夺旗赛概述、原理及应用 #### 一、概述 CTF(Capture The Flag,夺旗赛)是网络安全领域内一种极为流行的竞赛形式,尤其是在Web安全领域。这种竞赛模式旨在模拟真实世界的网络安全挑战,...
CTF web安全45天入门学习路线
b1ackc4t的博客
01-23 1万+
前言 因为最近在准备开发CTF学习平台,先做一个学习路线的整理,顺便也是对想学web的学弟学妹的一些建议。 学习路线 初期 刚刚走进大学,入了web安全的坑,面对诸多漏洞必然是迷茫的,这时的首要任务就是打好网站开发的基础,曾有伟人说过-“自己不会做网站,何谈去找网站的漏洞”,在学习漏洞前,了解基本网站架构、基础网站开发原理,基础的前后端知识,能够让你之后的漏洞学习畅通无阻。 html+css+js(2-3天) 前端三要素 html、css、js是被浏览器解析的代码,是构成静态页面的基础。也是前端漏洞如xss
ctf web 找flag夺旗赛.zip
05-19
在网络安全领域,CTF(Capture The Flag)是一种流行的比赛形式,尤其在Web安全学习和训练中,它提供了...在比赛过程中,学习如何防止和修复这些漏洞同样至关重要,因为这有助于我们在实际工作中构建更安全的Web环境。
【笔记】结合CTF理解Web安全
最新发布
诗酒趁年华
05-31 1357
这三者关系是互补的,当SDL出现差错时,可以通过周期性的扫描,安全评估等工作将问及时解决,而入侵检测(suricata),WAF(ModSecurity)等系统,则可以在安全事件发生后的第一时间进行响应,并有助于时候定损,如果三者只剩其一,都可能使得公司的安全体系出现短板,给攻击者带来可乘之机。
CTFHub-Web--信息泄露
m0_69003772的博客
04-23 1846
CTF简介以及信息泄露下目解过程 文章目录 前言 一、基础知识 1.CTF简介 2.竞赛模式 2.1.理论知识 2.2.Jeopardy-解 2.3.AwD-攻防模式 2.4.AWP-攻防增强 2.5.RHG-自动化[ AI自动化] 2.6RW-真实世界 2.7.KoH-抢占山头 2.8.Mix[混合] 3.比赛形式 3.1.线上 3.2.线下 4.目类型 4.1.Web 4.2.Pwn 4.3.Reverse 4.4.C.
CTF初学笔记-web新手目(附学习资料)
2301_77472496的博客
04-28 1821
CTF大赛, 俗话说“兵马未动,粮草先行”,打CTF手里的武器工具少不了。
联合战队大佬带你入门CTF-web
Javachichi的博客
02-29 609
有句老话说的好,不懂开发的安全人员不是一个好安全人员,作为一个web手,我们还得了解一个网站的基本架构,并且得自己亲手写一些简单页面,搭一个简易网站。越了解网站,你的硬实力相应的也会越强,不管是在ctf还是在src中都会更加容易的理解本质。在ctf中其实也就HTTP协议体现的最多,其它的一些协议,例如arp协议,ICMP协议在网络攻击中会体现出来,或许AWD可能需要此类知识,当然不是说不学,只是暂时可以分个学习先后针对以上技术内容,博主会陆续创作技术分享。敬请期待~
CTF web总结
热门推荐
giantbranch的专栏
04-09 8万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.youkuaiyun.com/u012763794/article/details/50959166 本文根据自己的做经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
CTF-攻防世界web新手入门篇
weixin_45923850的博客
04-14 1万+
CTF练习
2020技能大赛改革赛云计算赛项 先电2.4 paas 基于容器的web应用系统部署任务
qq_36766161的博客
12-25 1万+
1.基础部分 (1)任务1 Docker CE及私有仓库安装任务(5分) 1.在master、node1、node2、cicd-node各节点中分别安装DockerCE和docker-compose。(1分) 懒得写 2.在cicd-node节点安装Registry私有仓库,导入/opt/containerk8s/docker/images目录下所有镜像,并推送到Registry私有仓库。 懒得写 3.在node1节点上从仓库中拉取mysql:latest和wordpress:latest镜.
ctf web基本步骤
小小白的博客
06-27 3万+
大家做ctf简单点的都可以用这些判断,基本上都会有,除非个别变态的。 1. 看源码 可以右键->【查看网页源代码】,也可以用火狐和谷歌浏览器的按F12键,按F12键可以修改html源代码方便构造一些值提交,但如果不需要的话直接右键查看源代码更直观,看网页里面的注释之类的都很方便。 2. 抓包 这几天接触到的抓包一般是用burpsuite,如果要多次尝试可以右键->【send t...
CTF基础知识及web
m0_60484735的博客
04-21 8402
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录CTF基础知识一、CTF简介二、CTF赛事介绍三、CTF竞赛模式1.解模式(Jeopardy)2.攻防模式(Attack-Defense)3.混合模式(Mix)四、CTF竞赛内容国内外著名赛事1、国际知名CTF赛事2、国内知名CTF赛事五、如何学习CTF1、分析赛2、常规操作3、入门知识推荐书籍 CTF基础知识 一、CTF简介 CTF(Capture The Flag)夺旗比赛,在网络安全领域中指的是网络安全技术人员之间进行.
Web安全攻防之SQLmap使用
读万卷书,行万里路。
01-26 1270
Web安全攻防》使用sqli-labs来熟悉一下SQLmap这个神器,我也大致的熟悉一下这个工具的使用吧。 SQL注入的基本步骤: 判断注入类型 获取数据库名 获取数据表名 获取字段名 获取数据 1 判断注入类型 1.1 Get类型 使用 -u 参数指定url(sqlmap关卡1) sqlmap -u "http://localhost:4000/Less-1?id=1" 需要注意的是:URL最好附带请求的参数。 sqlmap identified the following injection p
浅谈CTF中escapeshellarg的利用
读万卷书,行万里路。
08-09 6031
浅谈 escapeshellarg 的利用 文章目录浅谈 escapeshellarg 的利用0 前言1 参数注入2 逃逸字符2.1 cat flag2.2 freepoint3 总结 0 前言 escapeshellarg 的作用是把字符串转码为可以在 shell 命令里使用的参数。(escapeshellarg 和 escapeshellcmd 相似,主要看是否有引号) 在 CTF 可能被用于: 参数注入(开发人员错误的使用 escapeshellarg 函数) 逃逸字符(该函数非二进制安全) 1
御剑1.5版本:CTFWeb攻防的利器
根据提供的文件信息,我们可以推断出以下知识点: 1. CTF简介: CTF(Capture The Flag,...对于IT安全人员而言,熟练掌握此类工具的使用,有助于在CTF竞赛中取得优异成绩,同时也是日常网络安全工作的重要技能之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值