ctf指南(精品)

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,15-1-10,#,MY WAY IN CTF,Powered by,x.web.y,xxoo,简介,Ctf,经历,常规题目,BT,思路,经验总结,Q&A,Content Of The Topic:,CTF.,简介,全称：,C(capture)T(the)F(flag),官方起源：,1996,年,DEFCON,全球黑客,大会,号称：计算机界的,奥林匹克,DEFCON,：,美国,军队活跃度和备战状态的等级,CTF.,简介,常规属性,：,1,.,题目内容种类繁杂，覆盖面,广,2,.,比赛全世界分布，特点,迥异,3,.,团队,VS,个人,|,解题,VS,攻防,VS,混杂,|,战术,VS,战役,4,.,难度高,+,思路淫荡,CTF.,简介,常规,CTF,题目内容：,程序逆向,漏洞挖掘,Web,渗透,加密解密,数据隐藏,各类编程 取证分析 网络协议 远程利用 等等,非常规题目,(MISC),：,大数据分析 格式规则 磁码分析等等,顶级,CTF,的核心题目：,程序逆向 漏洞挖掘 远程利用,CTF.,简介,国际比赛：,Defcon PlaidCTF RuCTFe Hack.luCTF CodegateCTF,详见：,https:/ctftime.org,/,关键字：权重，参赛队，国籍,国内比赛：,XCTF,联赛,(hctf,0ctf,sctf,bctf,actf),详见：,https:/,/,ISCC,360CTF,AliCTF,XDctf,SSCTF,推荐：,ISCC,XCTF,360CTF,XDCTF,CTF.,简介,推荐博客：,http:/www.blue- U0VjTDB2ZXJAMjAxNA=,解码：,SEcL0ver2014,常规题目,入门,级别题目,猜测和,google,爬虫有关，然后,robots.txt,X-Forwarded-For,key is:S2CloveRWelcomE_Y0u,常规题目,入门,级别题目,常规题目,入门,级别题目,http:/121.40.86.166:39099/index.php?gift=%3C?php$flag=xxx;extract($_GET);if(isset($gift)$content=trim(file_get_contents($flag);if($gift=$content)echohctf.;elseechoOh.;?%3E&flag=index.php.bak,常规题目,答：有逻辑且带坑的题,有逻辑且加“量”,无逻辑且无需很多经验,问：何为中级的题目？,常规题目,中级,级别题目,常规题目,首先是存在,XSS,盲打漏洞,构造,payload,数据包,想了好久，没办法，然后发现这个,页面,存在,SQL,注入漏洞,http:/121.41.37.11:25045/img.php?file=1.jpg%20and%201=1%20andjpg=jpg,http:/121.41.37.11:25045/img.php?file=1.jpg%20and%201=2%20andjpg=jpg,写了个脚本注入,就能得到结果,V1ew,和,A1rB4s1C,之类的,修改,X-Forwarded-For,就能够访问,页面,http,:/121.41.37.11:25045/get.php?user=A1rB4s1C,读出,FLAG,中级,级别题目,常规题目,中级,级别题目,这里是一大堆乱七八糟的字符，直接复制到文本中。从第一个字符开始全部替换，用,A,-Z,替换，刚好替换掉所有字符，考虑是一个一对一的密码映射关系。然后用,A,-Z,当作密文，手动分析英语语法：,常规题目,中级,级别题目,pcap,流量分析,大 家首先一通乱搞，把题目作者的,acfun,账号拿了下来（显然作者不小心留了未过期的,cookie,在里面），胡乱翻了一通没发现什么信息，于是继续看。使用,filter,为,tcp contains,“,.rar,”搜出一条奇怪流量，把,rar,还原出来。里面有一个图片和一个,doc,文件，图片如下：,上面有信息,key,：,XPA087T24433PASS,但用这个怎么提交都不对，图片也分析不出什么。后来主办方放出,hint,，说,doc,后面有密文。,于 是,ultraedit,打开,doc,，对比着正常的,doc,文件把末尾的密文扒拉出来，因为,key,是,16,位长的字符串，也就是,128bit,，猜测可能是,AES,等 用,128bit,密钥的加密算法。搞了半天没结果，后来主办有提示这是,DES,加密，可,DES,如何使用,128bit,的密钥，你在逗我？,结果在胡搞的过程中随手尝试了用,XPA087T2,当作密钥来解密密文，把解密出的东西,print,出来一看，,PDF magic header,！,常规题目,答：你问我！我问谁？！,问：何为,高,级的题目？,常规题目,高级级别题目,常规题目,高级级别题目,Do you have 0day?Hint:Code A,Score:300,Ratio:4/659,Remain:0/30,打开题目中的地址，从,robots.txt,中发现了,/flag/flag.txt,常规题目,高级级别题目,Email:happy_ 刘明,(,工号,SYC071),Domain:,Domain:report-,发件人：,Information Tech IT,时间：,2014-09-01,=,通知,:,公司,VPN,地址：,默认用户名：工号,(,如：,SYC001),默认登录密码：工号,+,生日,(,如：工号为,SYC001,，生日为,19900101,的用户，密码为：,SYC001900101),Information Tech,Do not Reply,BT,思维,另类题目,1.ISG BASH,漏洞题目,2.AliCTF,大数据分析题目,3.SSCTF wordpress,插件漏洞,CTF.,经历,线下,赛怎么搞,准备：,防护,好自己的电脑,尽量对工具和资料做备份,扫描工具的使用,回,酒店怎么办,CTF.,经历,总结,CTF,比的不是智力，是脑力,CTF,比的不是新奇，是经验,CTF,比的不是猥琐，是思维,CTF,比的不是奇葩，是全局,CTF.,经历,花絮,那些关于线下赛的恩怨情仇,基,情,VS,爱情,赛,棍啊赛棍,无奈的主办方,NEW PAGE WAITING FOR YOU!,