内容概要:本文档介绍了CTF竞赛中Web题型的解题技巧,涵盖从基础到进阶的各种知识点。首先介绍了基础工具如Burpsuite、Python、Firefox及其插件,以及扫描工具如Nmap、Nessus和OpenVAS。接着详细讲述了常见解题套路,包括直接查看网页源码、利用robots.txt、分析HTTP请求与响应、处理不常见请求类型、流量分析、日志审计、WebShell、源码泄漏、编码与解密、Windows特性、PHP弱类型、伪协议、绕过WAF、XSS攻击、命令执行漏洞、SQL注入等。每个部分都结合了具体的实例和工具使用说明,帮助读者理解和实践。
适合人群:对网络安全感兴趣并有一定编程基础的初学者,尤其是希望参加CTF竞赛或从事Web安全研究的技术人员。
使用场景及目标:①熟悉各类Web漏洞的原理和利用方法;②掌握常用的安全测试工具和技术;③通过实际案例加深对Web安全的理解,提高解题能力;④为参与CTF竞赛做好准备,能够在比赛中快速定位和解决问题。
其他说明:本文档提供了丰富的参考资料链接,方便读者深入学习。建议读者结合文档中的示例和提供的资源,进行动手实践,以更好地掌握所学内容。此外,由于Web安全领域不断发展,持续关注最新的技术和工具更新是非常重要的。
2025-11-21 23:44:34
898KB
1
题目地址
https://treasure-map.cha.hackpack.club/
打开是酱紫
sui便打开一个404找不到
先演示错误思路:
Plan A. 0~9999,一共1w个目录,每个看一下,不久找到宝藏了吗?
上bp抓包,Ctrl + I,爆破点为/后的数字比如1,sniper狙击手模式,
playload 用runtime file
里面是python下面输出的结果
for i in range(0,10000):
tab print(i)
并发跳到300,超跑的感jio
设置flag
很不幸,无一幸免,全都flag标记阵亡了
换思路,找宝藏,要想有地图,hi
2025-07-09 11:41:55
1.69MB
1
CTF web安全45天入门学习路线_b1ackc4t的博客-CSDN博客.html
2025-01-25 15:07:36
306KB
1
网盘文件永久链接
1 - 代码执行与命令执行安全漏洞与防御...
2 - 文件上传安全漏洞与防御...
3 - XXE安全漏洞与防御...
4 - SSRF安全漏洞与防御...
5 - PHP反序列化安全漏洞与防御...
6 - Python 安全开发基础...
2022-10-19 13:03:51
263B
第1章 注入类
课时1:SQL注入原理与利用 19'40
课时2:SQL注入宽字节原理与利用42'08
课时3:SQL Union注入原理与利用01'01'54
课时4:SQL注入布尔注入50'02
课时5:报错注入原理与利用29'27
课时6:CTF SQL基于约束注入原理与利用12'22
课时7:SQL注入基于时间注入的原理与利用50'13
课时8:SQL基于时间盲注的Python自动化解题22'45
课时9:Sqlmap自动化注入工具介绍23'47
课时10:Sqlmap自动化注入实验 - POST注入13'34
课时11:SQL注入常用基础Trick18'15
第2章 代码执行与命令执行
课时1:代码执行介绍49'32
课时2:命令执行介绍20'14
课时3:命令执行分类20'12
课时4:命令执行技巧24'30
课时5:长度限制的命令执行25'46
课时6:无数字和字母命令执行10'27
第3章 文件上传与文件包含
课时1:文件上传漏洞原理与简单实验17'10
课时2:文件上传利用 - javascript客户端检查14'16
课时3:文件上传利用 - MIME类型检查10'50
课时4:文件上传利用 - 黑名单检查11'46
课时5:白名单检查13'09
课时6:Magic Header检查13'04
课时7:竞争上传21'10
课时8:简单利用15'47
课时9:文件包含介绍 - 伪协议zip和phar利用17'56
课时10:文件包含介绍-伪协议phpfilter利用04'54
课时11:日志文件利用07'58
课时12:日志文件利用session会话利用17'43
第4章 SSRF
课时1:SSRF介绍与简单利用19'14
课时2:SSRF限制绕过策略13'07
课时3:SSRF中可以使用的协议分析17'44
课时4:Linux基础知识21'37
课时5:Redis未授权访问漏洞利用与防御16'17
课时6:Redis未授权添加ssh密钥f17'04
第5章 第五章
课时1:XXE-XML基础必备24'47
课时2:XXEXML盲注利用技巧18'22
第6章 第六章
课时1:序列化和反序列化介绍15'49
课时2:PHP反序列化识别与利用14'22
课时3:PHP序列化特殊点介绍15'28
课时4:魔术方法20'35
课时5:序列化漏洞案例 - 任意命令执行05'53
课时6:Phar反序列化10'38
第7章 第7章 Python基础
课时1:7.1-Requests模块安装与介绍15'28
课时2:7.2-Python requests库 使用18'26
课时3:7.3-XSS自动化检测13'23
课时4:7.4-Python-SQL自动化检测07'59
课时5:7.5-Python 源码泄露自动化挖掘23'38
第8章 第8章 SSTI模板注入
课时1:8.1-Flask框架介绍与基础39'14
课时2:8.2-RCE 文件读写23'37
课时3:8.3-SSTI Trick技巧27'13
2022-08-17 14:45:25
41B
1
CTF安全大赛必刷题
2021-12-02 15:00:05
5.94MB