這段時間在刷ctf題目,在做到web方向的時候,一開始面對題目的時候,總有一種束手無策的感覺,在做了一些web題目後,寫一下總結希望以後做的時候可供參考
ctf不同於真實實戰,有很多題解出來需要繞很多彎,有時候我都懷疑很多題目是為了出題而出題......
這樣有不好也有好,就是ctf的題目無論多難解,都會給你承上啟下的線索,這個是必須有的
在遇到的題目中,web方向的找線索方法我按照自己定義大概可以分為兩類,在此獻上自己畫的草圖(很潦草~)
例如是一開啟**,就會有原始碼頁面,或者檔案上傳頁面的,此模擬較好定位找到解題方向,這個不多說
解不出來就是自身知識不足的問題,缺什麼補什麼就行了,原始碼不懂多補語言的基礎,檔案上傳沒思路的
搜尋上傳檔案正確姿勢等字眼網上一大把
這一類特徵不明顯,也是令大多數crfer最頭疼的型別。因為相對特徵明顯類,網上沒有固定成體系的知識框架,
如果不是刷多了有經驗,小白(例如我)是很難從中找到頭緒。
當面對一條web題目毫無思路的時候,可以嘗試如下步驟找線索:
1.按f12找提示,可能會有加密的字串,或者**注釋提示藏在原始碼裡
2.bp抓包發現有沒隱藏資訊
3.尋找隱藏路徑(常見index,login類似的路徑自己推理出來試下,了解伺服器的資訊隱藏的配置檔案,或者後台掃瞄)
4.有登入框型別的題目(偽造本地位址,cookie欺騙,bp爆破密碼,弱口令,sql注入萬能密碼)
5.sql自找注入點(例如登入框,某些可以變動數字有可能是從資料庫查出來的)
想到再補
ctf web基本步驟
1.看原始碼 可以右鍵 檢視網頁源 也可以用火狐和谷歌瀏覽器的按f12鍵,按f12鍵可以修改html源 方便構造一些值提交,但如果不需要的話直接右鍵檢視源 更直觀,看網頁裡面的注釋之類的都很方便。2.抓包 這幾天接觸到的抓包一般是用burpsuite,如果要多次嘗試可以右鍵 send to repe...
CTF web命令執行漏洞
命令執行漏洞概念 當應用需要呼叫一些外部程式去處理內容的情況下,就會用到一些執行系統命令的函式。如php中的system,exec,shell exec等,當使用者可以控制命令執行函式中的引數時,將可注入惡意系統命令到正常命令中,造成命令執行攻擊。漏洞成因 指令碼語言優點是簡潔,方便,但也伴隨著一些...
CTF Web 安全學習 20 07 11
題目表述 x老師告訴小寧同學http通常使用兩種請求方法,你知道是哪兩種嗎?一種是get,一種是post。get在url中可以看到,形式為?a 1 post不會修改url,因此我們需要工具。我學習到了max hack bar工具。writeup如下 題目描述 x老師忘記刪除備份檔案,他派小寧同學去把...