CTF概念

CTF是Capture The Flag的縮寫，中文一般譯作奪旗賽
CTF起源于1996年DEFCON全球黑客大會
DEFCONCTF是全球技術(shù)水平和影響力最高的CTF競賽

競賽模式

解題模式:解決網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)(即找到flag)，提交后獲取相應(yīng)分值。
攻防賽模式:要求找到其他隊伍的薄弱環(huán)節(jié)進行攻擊，同時對自己的靶機環(huán)境進行加固防守。
戰(zhàn)爭分享模式:由參賽隊伍相互出題挑戰(zhàn)。

競賽內(nèi)容

1.WEB:網(wǎng)絡(luò)攻防
2.Reverse:逆向工程
3.PWN:二進制漏洞
4.Crypto: 密碼學(xué)
5.Mobile: 移動安全
6.Misc:安全雜項

Burp Suite工具

使用Java編寫的一個用于測試網(wǎng)絡(luò)應(yīng)用程序安全性的圖形化工具。
主要功能
1.攔截、查看或者修改網(wǎng)絡(luò)請求和響應(yīng)
2.掃描web應(yīng)用程序的安全漏洞。
3.自動化攻擊web應(yīng)用
4.對數(shù)據(jù)編碼和解碼

Webshell管理工具

蟻劍:網(wǎng)站管理工具，面向于滲透測試安全人員以及網(wǎng)站管理員
冰蝎:通信過程中使用AES加密
哥斯拉:替代工具。

考點1:PHP弱類型

弱類型簡單來說就是數(shù)據(jù)類型可以被忽視的語言，同一變量在不同類型中是不同的值。
CTF比賽中需要掌握
1.理解= =和= = =的區(qū)別
2.MD5驗證繞過方法
比如下面的admin=0是true 'admin’是一個字符型他和整型0作比較 那么’admin’轉(zhuǎn)化為整形的值是0
"1admin"字符串轉(zhuǎn)化為整型為前面的值1
"admin1"字符串轉(zhuǎn)化為整型為前面的值0

考點2: SQL注入

SQL注入是將Web頁面的原URL、表單域或數(shù)據(jù)包輸入的參數(shù) 修改拼接成SQL語句，傳遞給Web服務(wù)器，進而傳給數(shù)據(jù)庫服務(wù)器以執(zhí)行數(shù)據(jù)庫命令。
CTF比賽中需要掌握:
1.聯(lián)合查詢注入
select username from users where id=“$id” 這個是正確的語句
select username from users where id=“-1” 前面為正確語句
union select password from users #" union是把多重查詢的結(jié)果合并起來 而后面又是一個語句 #是把后面多余的“注釋掉
這樣子我們就可以得到id為-1的username和users表中字段password的數(shù)據(jù)
2.報錯注入
和聯(lián)合查詢的區(qū)別是 聯(lián)合查詢是給出我們數(shù)據(jù) 而報錯注入只會有正確和錯誤的信息
3.盲注
這個的話如果是報錯的話不會顯示具體信息 一般通過布爾盲注和時間盲注來判斷
4.寬字節(jié)注入
5.二次注入

考點3: 文件上傳

文件上傳漏洞:上傳文件的時候，服務(wù)器后端未對上傳的文件進行嚴(yán)格的驗證和過濾，造成上傳惡意文件的情況
CTF比賽中需要掌握:
1.客戶端檢測繞過方式
2.MIME類型檢測繞過方式
3.文件后綴檢測繞過方式
4.文件內(nèi)容檢測繞過方式

考點4: 文件包含

文件包含漏洞:客戶端用戶輸入控制動態(tài)包含在服務(wù)器端的文件，會導(dǎo)致惡意代碼的執(zhí)行及敏感信息泄露，主要包括本地文件包含和遠(yuǎn)程文件包含兩種形式。
CTF比賽中需要掌握:
1.文件包含的函數(shù)
2.讀取敏感文件
3.獲取服務(wù)器權(quán)限

考點5: 遠(yuǎn)程命令執(zhí)行

當(dāng)用戶可以控制命令執(zhí)行函數(shù)中的參數(shù)時，就可以注入惡意命令到正常命令中，造成命令
執(zhí)行攻擊。
CTF比賽中需要掌握:
1.PHP等語言中常見的系統(tǒng)命令執(zhí)行函數(shù)
2.命令拼接方法
3.繞過過濾機制

考點6:服務(wù)端請求偽造

簡稱SSRF，是一種由攻擊者構(gòu)造形成由服務(wù)器端發(fā)起請求的一個漏洞CTF比賽中需要掌握:
1.SSRF的利用技巧5
2.SSRF攻擊mysq
3.SSRF攻擊redis

考點7: 跨站腳本攻擊

簡稱XSS，是指惡意攻擊者往Web頁面里插入惡意代碼，當(dāng)其他用戶瀏覽該頁之時，嵌入其中Web頁面的JavaScript代碼會被執(zhí)行，從而達(dá)到惡意攻擊用戶的目的。
CTF比賽中需要掌握:
1.XSS漏洞的類型和利用方法
2.繞過“內(nèi)容安全策略

考點8: XML外部實體注入

簡稱XXE，是在對非安全的外部實體數(shù)據(jù)進行處理時引發(fā)的安全問題CTF比賽中需要掌握
1.XML基礎(chǔ)知識
2.繞過過濾機制，實現(xiàn)漏洞利用

考點9: Nodejs

發(fā)布于2009年5月，是一個基于Chrome V8引擎的JavaScript運行環(huán)境，讓JavaScript 運行在服務(wù)端的開發(fā)平臺，成為類似于PHP的后端語言。CTF比賽中需要掌握
1.JavaScript基本語法
2.類型污染
3.原型鏈污染

考點10: 反序列化

序列化:就是把對象轉(zhuǎn)化為二進制的字符串，使用serialize()函數(shù)
反序列化:把對象轉(zhuǎn)化的二進制字符串再轉(zhuǎn)化為對象，使用unserialize()函數(shù)
CTF比賽中需要掌握:
1.PHP反序列化漏洞原理
2.構(gòu)造POP鏈