第一次接触ctf,突击了几天,做了一些题,在这里总结一下
其实有时候做题的时候你会感觉非常有趣,还会有经历千辛万苦找到flag的自豪感
- 第一次接触ctf,首先要知道flag的格式:Most flags are in the form flag{xxx}, for example:flag{th1s_!s_a_d4m0_4la9}。
ctf做题的时候你会发现你需要安装各种工具,这个遇到题再说
emmm,在这里总结一下做了这些题遇到的各种题型
web
- 弱智型的:直接 F12,view-source:看代码
- 登录问题,没有提示SQL注入,直接暴力破解密码,提供一个工具:Burp suite(四种攻击方式)
Burp Suite 工具箱
Proxy——是一个拦截 HTTP /S 的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现 web应用程序的安全漏洞。
Intruder——是一个定制的高度可配置的工具,对 web 应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用 fuzzing 技术探测常规漏洞。
Repeater——是一个靠手动操作来补发单独的 HTTP请求,并分析应用程序响应的工具。
Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具。
Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
3. GET,POST传值问题,对于GET传值,直接在URL上改就可以:?id=3;对于POST,因为不是体现在URL上的,这里提供一个插件HackBar,火狐上的:
4. 关于改变请求头的问题:
- 种族歧视
小明同学今天访问了一个网站,竟然不允许中国人访问!太坑了,于是小明同学决心一定要进去一探究竟!
这道题 accept-language问题 所以改语言 - HAHA浏览器
据说信息安全小组最近出了一款新的浏览器,叫HAHA浏览器,有些题目必须通过HAHA浏览器才能答对。小明同学坚决不要装HAHA浏览器,怕有后门,但是如何才能过这个需要安装HAHA浏览器才能过的题目呢?
misc
- 各种解密,base64,rot13,凯撒密码,栅栏密码,还有一些奇奇怪怪的网站,比如:与佛论禅,与熊论道……
提一句:注意,国外和国内的栅栏密码解密不同
国内解密 https://www.qqxiuzi.cn/bianma/zhalanmima.php
国外解密 http://www.atoolbox.net/Tool.php?Id=777
2. 还有就是flag隐藏在图片信息中
* flag隐藏在黑白图片的顺序中 对应01,转为字符串
* 加工二维码的问题,我见过的大多是缺少三个角上的定位符,P上就可以
*