第一次接觸ctf,突擊了幾天,做了一些題,在這里總結一下
其實有時候做題的時候你會感覺非常有趣,還會有經歷千辛萬苦找到flag的自豪感
- 第一次接觸ctf,首先要知道flag的格式:Most flags are in the form flag{xxx}, for example:flag{th1s_!s_a_d4m0_4la9}。
ctf做題的時候你會發現你需要安裝各種工具,這個遇到題再說
emmm,在這里總結一下做了這些題遇到的各種題型
web
- 弱智型的:直接 F12,view-source:看代碼
- 登錄問題,沒有提示SQL注入,直接暴力破解密碼,提供一個工具:Burp suite(四種攻擊方式)
Burp Suite 工具箱
Proxy——是一個攔截 HTTP /S 的代理服務器,作為一個在瀏覽器和目標應用程序之間的中間人,允許你攔截,查看,修改在兩個方向上的原始數據流。
Spider——是一個應用智能感應的網絡爬蟲,它能完整的枚舉應用程序的內容和功能。
Scanner[僅限專業版]——是一個高級的工具,執行后,它能自動地發現 web應用程序的安全漏洞。
Intruder——是一個定制的高度可配置的工具,對 web 應用程序進行自動化攻擊,如:枚舉標識符,收集有用的數據,以及使用 fuzzing 技術探測常規漏洞。
Repeater——是一個靠手動操作來補發單獨的 HTTP請求,並分析應用程序響應的工具。
Sequencer——是一個用來分析那些不可預知的應用程序會話令牌和重要數據項的隨機性的工具。
Decoder——是一個進行手動執行或對應用程序數據者智能解碼編碼的工具。
Comparer——是一個實用的工具,通常是通過一些相關的請求和響應得到兩項數據的一個可視化的“差異”。
3. GET,POST傳值問題,對於GET傳值,直接在URL上改就可以:?id=3;對於POST,因為不是體現在URL上的,這里提供一個插件HackBar,火狐上的:
4. 關於改變請求頭的問題:
- 種族歧視
小明同學今天訪問了一個網站,竟然不允許中國人訪問!太坑了,於是小明同學決心一定要進去一探究竟!
這道題 accept-language問題 所以改語言 - HAHA瀏覽器
據說信息安全小組最近出了一款新的瀏覽器,叫HAHA瀏覽器,有些題目必須通過HAHA瀏覽器才能答對。小明同學堅決不要裝HAHA瀏覽器,怕有后門,但是如何才能過這個需要安裝HAHA瀏覽器才能過的題目呢?
misc
- 各種解密,base64,rot13,凱撒密碼,柵欄密碼,還有一些奇奇怪怪的網站,比如:與佛論禪,與熊論道……
提一句:注意,國外和國內的柵欄密碼解密不同
國內解密 https://www.qqxiuzi.cn/bianma/zhalanmima.php
國外解密 http://www.atoolbox.net/Tool.php?Id=777
2. 還有就是flag隱藏在圖片信息中
* flag隱藏在黑白圖片的順序中 對應01,轉為字符串
* 加工二維碼的問題,我見過的大多是缺少三個角上的定位符,P上就可以
*