web部分是CTF的重要组成部分之一,素有WEB大魔王之称,题目种类繁多,关键是如何发现漏洞的类型和怎样构造特殊的负载绕过过滤。
CTF分为三种模式 解题模式 攻防模式 混合模式
在线工具 https://www.ctftools.com/down/
http://tool.bugku.com/jiemi/
在线代码执行(各种网页语言 C C++) https://tool.lu/coderunner/
各种编解码网站 http://www.freebuf.com/column/160477.html
php代码在线测试,php在线执行 http://www.dooccn.com/php/
几个练习平台
爱春秋
http://hackinglab.cn/
http://ctf.nuptzj.cn/challenges
http://chall.tasteless.eu/
http://ctf.bugku.com/login?next=challenges
https://www.jarvisoj.com/login
http://www.shiyanbar.com/ctf/practice
大概的考点:
- 网页源码审计
- 查看或者修改http请求头
- 302跳转信息
- 查看开发者工具控制台
- Js代码查看和加密解密
- Burp suite使用
- Robots.txt
- Aps,php代码审计
- Sql注入
- 简单脚本使用
- 后台登录
- 代码逆向
- 上传绕过
- Hash函数
- 备份文件
- 验证码
- Cookies
- MD5碰撞
- 沙箱逃逸
- 源码泄露
- 反序列化
- XXE实体漏洞
利器:
- Burp suite 抓包改包
- Firfox_firbug tamperdata modifyheaders hackbar xssme
- AWVS综合三苗器 分模式
- 中国菜刀 一句话木马
- 御剑 扫面器 扫面后台
- XSSEE解码器
- Sqlmap sql代替手工注入 (sql to hexsql编码) 明小子
18.7.19 补充 常见的套路:
0.常用爆破,其中就有MD5,验证码识别,爆破随机数。
1.绕WAF,花式绕Mysql,绕文件读取关键字检测之类的拦截。
2.几个常见的php特性,其中就有弱类型,反序列化+destruct,\0截断,iconv截断。(最近在学php,等熟练一波后,再补一篇)
3.密码题中就包括hash长度扩展,异或,移位加密的变形,32位随机数过小,随机数种子可预测。
4.各种找源码的技巧,git,svn,xxx,php.swp,www…(zip|tar.gz|rar|7z),xxx.php.bak。
5.文件上传,其中就有文件的后缀,php345.inc.phtml.phpt.phps,各种文件内容检测<?php<?<%
6.Mysql类型差异,包括和php弱类型类似的特性,0x,0b,0e之类,varchar和integar相互转换,非strict模式截断等。
7.open_basedir,diable_functions花式绕过技巧,包括dl,mail,imagick,bash漏洞,Directorylterator及各种二进制选手插足的方法。
8.条件竞争,包括竞争删除前生成shell,竞争数据库无锁多扣线。
9.社工,花式查社工库,微博,qq签名,whois。
10.windows特性,包括短文件名,IIS解析漏洞,NTFs文件系统通配符,::$DATA,冒号截断。
11.SSRF,花式探测端口,302跳转,花式协议利用,gophar直接取shell等。
12.xss,各种浏览器auditor绕过,富文本过滤黑白名单绕过,flash xss,CSP绕过。
13.XXE,各种XML存在地方(rss/word/流媒体),各种XEE利用方法(SSRF,文件读取)。
14.协议,花式IP伪造X-Forwarded-For/X-Client-IP/X-Real-IP/CDN-Src-IP,花式改UA,花式藏FLAG,花式分析数据包。