CTF训练

最新推荐文章于 2025-07-03 20:40:23 发布
原创 最新推荐文章于 2025-07-03 20:40:23 发布 · 4.4k 阅读 · 42 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#idf实验室

国外 we challenge——–最经典
http://www.wechall.net/

西普学院
http://www.simplexue.com/
有在线视频教程

http://ctf.idf.cn/
IDF实验室 CTF训练营
有ctf资料,工具,知识

一个在线的ctf game——————值得马上去做~
http://fun.coolshell.cn/first.html
网上有writeup http://drops.wooyun.org/tips/2730

hackyou2014,有writeup
http://hackyou.ctf.su/
http://drops.wooyun.org/tips/870

wargames
http://overthewire.org/wargames

exploit linux的漏洞利用 通关版,有在线的资源,有虚拟机镜像,在网盘里,有writeup
https://exploit-exercises.com/protostar/
可以通过它学习提权,漏洞分析,漏洞开发,逆向工程等
相关介绍
http://www.myhack58.com/Article/html/3/8/2012/36180.htm

国外的一个在线训练平台
http://securityoverride.org/news.php

菜鸟级别的ctf
http://www.try2hack.nl/levels/
发表在 CTF | 一条评论
WAF防御能力评测及工具
发表于 2015 年 3 月 7 日 由 YouMeng
转自:http://danqingdani.blog.163.com/blog/static/1860941952014101462723470/

本篇文章介绍如何从常规攻击的防御能力来评测一款WAF。一共覆盖了十六种攻击类型,每种类型均从利用场景(攻击操作的目的),注入点(漏洞产生的地方,比如说大多数WAF都会较全面地覆盖来自GET请求的攻击,有选择地覆盖来自POST请求的攻击而忽略来自请求头的攻击)和绕过方式来评测,最后附上评测代码。

一、SQL注入(注入)

  1. 利用场景
    从攻击者进行SQL注入的阶段来看,一般分为探测与攻击两个阶段(p.s.攻击阶段是WAF的重点防御阶段)
    (1)探测阶段
    1) 探测是否存在SQL注入:基于SQL错误回显(e.g.extractvalue) 或时间响应(Benchmark,sleep)来探测目标网站是否存在SQL注入点
    2) 识别数据库类型:根据数据库的slang来判断目标网站采用的哪种数据库及数据库的版本等基本信息,例如@@version,user()
    (2)利用阶段
    i. select型SQLi
    1) 读取元数据库:通过读取数据库管理系统元数据库(e.g. MySQL的information_schema, SQL Server的sysobjects)来探测数据存储数据库,表,列等基本信息
    2) 提取数据:使用union查询或盲注中的逐位探测(e.g.length,substr)或者条件探测(Select if(1=1,’a’,’b’);)来提取数据库管理系统中的数据,其中经常会用到concat(),grou
最低0.47元/天 解锁文章

200万优质内容无限畅学
青少年CTF训练平台 Web-Easy PingMe02
xingjinhao123的博客
10-22 1739
青少年CTF训练平台 Web-Easy PingMe02
CTF练习(1)-Forms(HTML)
qq_35097943的博客
03-19 1489
实验吧CTF练习-初识CTF 1.打开题目页面显示 2.先看网页源代码 可以看到显示内容中没有 type = “hidden”:定义隐藏的输入字段 那么就得让他显示出来 注: button 定义可点击按钮(多数情况下,用于通过 JavaScript 启动脚本)。 checkbox 定义复选框。 file 定义输入字段和 "浏览"按钮,供文件上传。 hidden 定义隐藏的输入...
CTF-入门练习题
10-30
题目来自于蓝盾服务器,难度适中,适合于练习,需要wp请留言
CTF练习——WEB安全(BurpSuite为主)
zytjulie的博客
08-22 3578
CTF训练,WEB安全,Burpsuite部分
CTF:web前置技能-信息泄露-目录遍历(小白版)
最新发布
2401_90000416的博客
07-03 201
CTF:web前置技能-信息泄露-目录遍历(小白版)
一小白的CTF练习(持续更新~)
qq_68093438的博客
09-28 935
一个小白从0开始学习网安的记录~
CTF练习日常(非常详细),零基础入门到精通,看这一篇就够了
分享Python知识
12-09 1228
CTF练习日常(非常详细),零基础入门到精通,看这一篇就够了
河南省网络安全高校战队联盟CTF训练营-web文件上传第一期
04-22
"河南省网络安全高校战队联盟CTF训练营-web文件上传第一期" 这个标题揭示了本次训练的主题,主要聚焦于网络安全领域中的一项重要技能——Web文件上传漏洞的利用与防御。CTF(Capture The Flag)是网络安全竞赛的一种...
ctf训练+比赛环境.zip
08-24
ctf训练+比赛环境.zip
CTF训练之现学现卖--SSH私钥泄露-附件资源
03-02
CTF训练之现学现卖--SSH私钥泄露-附件资源
CTF练习
m0_74342099的博客
11-20 223
1' uunionnion sselectelect 1,2,group_concat(table_name) ffromrom infoorrmation_schema.tables wwherehere table_schema=database()#进行爆表,因为注入不成功,所以一点一点尝试where和union、select、from等字段是否被过过滤进行双写过滤,select=O:4:"Name":3:{s:14:"%00Name%00username";
ctf练习
dieyoujiu5768的博客
11-04 400
也是刚接触ctf不久,在做题的过程中,也是学到了不少东西。刚开始是从南邮的题目入手的,不过再做过bugku上面的题之后,觉得这上面的更适合新手入门。题的难度与易到难,每道题所需要的知识点也非常清晰。前几天在做 字符?正则?这道题时,对正则略有心得,就想写篇文章,发表一下拙见。毕竟是新手,又是第一次写文章,若是有出错的地方,还请大家多包涵,多指教。 对于正则表达式,只要我们能把这个表达式...
ctf训练 Capture the Flag
qq_43799246的博客
12-03 1527
ctf训练 Capture the Flag CTF介绍 CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag",也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag"。 CTF比赛中涉及内容比较繁杂,我们要利用所有可以利用的方法获得flag。 实验环境 一台kail攻击机 和 靶机 靶机镜像:https://pan.
ctf练习题
moon__________的博客
10-09 4007
攻防世界WEB-Challenge area -Web php include WEB-Challenge area -Web php include 代码审计可以轻松知道本题考查文件包含并且过滤的php:// 所以我们用data://伪协议来传输数据,成功执行phpinfo() http://111.200.241.244:59922/index.php?page=data://text/plain,<?php phpinfo();?> 接下来我们利用大小写测试服务器操作系统(其实上图已
CTF练习题
qq_53460654的博客
12-15 4593
端午就该吃粽子 打开环境没有界面 直接目录扫描得到 login.php 访问得到 发现存在文件包含 试试目录跳跃,发现被过滤掉了 那就直接php为协议读源码 http://www.bmzclub.cn:22020/login.php?zhongzi=php://filter/read=convert.base64-encode/resource=index.php 解码得到 <?php error_reporting(0); if (isset($_GET['url'])) {
CTF练习-BUUCTF(1~25)
04-22 1801
BUUCTF练习 密码题1-25
CTF练习】Ctfshow入门 爆破(21-24)
Lush_hair_Dl的博客
03-10 2104
爆破题常用的工具就是bp的Intruder模块,将抓到的包发送到Repeater(点击action会有相应选项),用字典爆破:本题是一个登录窗口,首先第一步就是先输入用户名为:admin(一般没有额外提示就这么猜),密码随便输(此处输入111),然后登录。这一过程的目的是为了抓包查看爆破点有的时候抓包会直接看到用户名和密码的位置,这里就不能直接看到,此处将用户名和密码进行base64加密(对于一串字符后有=,基本就要猜测这一串数据是否是base64加密,解密看看是否有什么信息),解密后发现是。
滴!晨跑打卡 CTF训练
06-19
### 晨跑打卡与CTF训练营的结合 晨跑打卡是一种健康的生活习惯,而CTF(Capture The Flag)训练营则是网络安全领域的一种竞技和学习形式。将两者结合起来,可以通过设定目标和奖励机制来激励参与者的积极性。例如,可以设计一个系统,参与者在完成晨跑后可以获得积分或解锁CTF题目[^1]。 对于记录晨跑打卡的CTF训练营相关信息或平台,以下是一些可能的选择和建议: #### 1. 使用现有的CTF平台 许多CTF平台支持自定义任务和奖励机制,可以用来记录晨跑打卡信息。例如: - **HackTheBox**:虽然主要面向网络安全挑战,但可以通过创建私有房间来实现类似功能。 - **TryHackMe**:提供模块化的学习路径,可以结合晨跑打卡设计特定的学习计划。 #### 2. 自建平台 如果需要更灵活的功能,可以考虑自建平台。以下是技术实现的关键点: ```python # 示例代码:记录晨跑数据并关联CTF任务 class MorningRun: def __init__(self, user_id, distance, time): self.user_id = user_id self.distance = distance self.time = time def unlock_ctf_task(self): if self.distance >= 5: # 假设跑5公里解锁任务 return "Task Unlocked!" else: return "Keep Running!" # 示例调用 user_run = MorningRun(user_id=1, distance=6, time=30) print(user_run.unlock_ctf_task()) ``` #### 3. 数据存储与分析 为了更好地管理晨跑打卡和CTF训练营的资料,可以使用数据库进行存储和分析。推荐使用SQLite或MongoDB作为后端数据库[^1]。 #### 4. 社区资源 蚁景网安实验室提供的CTF训练营WP是一个不错的起点。此外,还可以参考以下资源: - **CTFTime**:一个汇集全球CTF比赛信息的平台。 - **OverTheWire**:适合初学者的在线CTF挑战。 ### 注意事项 确保晨跑打卡与CTF训练营的结合能够激励参与者,同时不会增加过多负担。设计合理的奖励机制是关键。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值