实战网络安全挑战：CTF竞赛指南

0x01 view_source

题目描述：X老师让小宁查看一个网页的源代码，但是小宁发现鼠标右键好像不起作用。 根据问题名称的提示，查看源代码，但是右键被禁用。直接使用Ctrl+U即可查看标志。

0x02 robots

题目描述：老师 打开空白网页时，根据提示输入robots.txt。里面的信息一般用来告诉搜索引擎哪些东西不希望被搜索，哪些东西可以搜索。进入后访问如下： 看到f1ag_1s_h3re.php的提示，访问后得到了flag。

0x03 backup

题目描述：X老师忘记删除备份文件。他派肖宁去找备份文件。让我们一起来帮助小宁吧！ index.php的备份文件有多种类型，如“.svn”、“.swp”、“.~”、“.bak”、“.bash_history”、“.bkf”等后缀。本题使用最常见的index.php.bak，访问下载，获取flag。

0x04 cookie

题目描述：X老师告诉小宁，他在饼干里放了一些东西。小宁疑惑地想：“这是三明治饼干吗？” Cookie 是在网页浏览期间保存用户登录信息的一种手段。本次请求携带的cookie值将显示在提交的请求的header中。我们可以使用开发者工具或者其他抓包工具来查看这一点。 访问提示查看http响应并查看响应标头。

0x05 disabled_button

题目描述：老师 前端的所有内容都可以使用F12 审阅元素进行修改。这里使用前端验证按钮，只需去掉disabled属性即可。 点击按钮即可获得旗帜。

0x06 weak_auth

题目描述：小宁写了一个登录验证页面，随便设了个密码。 本题测试弱密码和常见用户名。初衷是让burp进行爆破测试，获取用户名和密码。

随意输入用户名和密码，使用burp抓包提交给Intruder模块进行攻击，选择密码字段进行测试。 这里的攻击模式选择sniper，也就是说当有一个参数时，payload会依次执行。当有两个参数时，第一个参数会被爆破，第二个参数保持不变。这也是另一种常用的方法。模式是 Battering ram是指当有两个参数时，会一一对应地测试这两个参数，也就是说每次测试时，这两个参数都会发生变化。其他模式很少用到，可以自己理解。 在爆破过程中，每隔几秒单击一次长度字段。如果有不同的长度，我们需要重点关注。例如，在此测试中，434 错误返回，而437 正确。经过3425次测试，找到正确的密码。 这个问题只是教你如何使用Intruder模块。答案本身可以手动测试或猜测。

0x07 simple_php

题目描述：小宁听说php是最好的语言，就干脆学了一下，写了几行php代码。 这里涉及到的PHP基础知识是:GET方法传递参数。 URL后添加?+参数名+参数值，例如http://x.x.x.x/?a=1b=2php弱相等，在PHP中是弱相等，不比较变量。类型直接转换为同类型比较。这里，参数a必须等于0并且参数a为真。根据PHP弱类型比较的特点，当a的值为字母时，会先转为整数再进行比较。这里只要传入任意字母a即可。 b的要求是is_numeric，意思是判断这个变量是否是字母和数字的组合，b的值需要大于1234。这里传入的是6666a，与数字和数字的组合一致字母，转换后只剩下6666，比1234 还大。 访问如图。

0x08 get_post

题目描述：X老师告诉小宁，HTTP通常使用两种请求方式。你知道他们是哪两个吗？ 本题考查的知识点是两种传递参数的方式。一种是get，在url后面直接添加要传递的参数名称和值。另一种是post，将参数名称和具体值添加到表单中。 提交方式为：a=1 这里使用了Firefox的hackbar，post指定的值也可以用来用burp抓包。该方法并不独特。

0x09 xff_referer

题目描述：X老师告诉小宁，其实xff和referer是可以伪造的。

xff的全称是X-Forwarded-For，表示当前请求来自哪个IP地址。 Referer表示当前请求是从哪个域名发起的。

0x10 webshell

题目描述：小宁在百度里看到一篇关于php的词，觉得有趣，就放在index.php里。 根据问题提示，该木马的文件名为index.php，连接密码为shell，参数传输方式为POST。这里主要考察的是蚁剑和菜刀的使用方法。只需直接连接即可获取flag。

0x11 command_execution

题目描述：小宁写了ping功能，但没有写waf。 X老师告诉她，这样很危险。你知道为什么吗？ 输入地址，就会ping 通。使用命令拼接和联合来执行其他命令。 Linux中联合执行命令的基本方式是 ; "无论上一条命令成功与否，都执行下一条命令。 " , "如果上一条成功，则继续执行下一条，确保所有命令都成功。 " ||, "如果上一个命令失败，则执行下一个命令，直到某个命令成功。 "这里你可以使用ls 和cd 跨目录搜索flag。 检查以获得标志。

0x12 simple_js

题目描述：小宁找到了一个网页，但始终没有输入正确的密码。 （标志格式为Cyberpeace{xxxxx

xxxx}）

用户评论

枫无痕

我最近开始接触 CTF，感觉还挺有意思！

    有19位网友表示赞同！

我的黑色迷你裙

听说做 CTF 可以锻炼编程能力和安全意识，想去试试看。

    有20位网友表示赞同！

一别经年

准备报名参加一场线上 CTF，大家有没有什么经验分享？

    有6位网友表示赞同！

爱到伤肺i

CTF 看起来很刺激，需要一定的技术储备才能厉害吧。

    有16位网友表示赞同！

服从

喜欢解谜、玩代码游戏的人，可以考虑参与 CTF 比赛。

    有11位网友表示赞同！

淡抹丶悲伤

听说 CTFPlatform 上有很多精彩的 CTF 赛事，要去探索一下。

    有13位网友表示赞同！

不要冷战i

队友之间合作也很重要，想找几个一起组队参加 CTF 的朋友。

    有5位网友表示赞同！

搞搞嗎妹妹

学习一些网络安全知识，可以让我更好地应对 CTF 挑战。

    有17位网友表示赞同！

心悸╰つ

这次比赛的目标是闯进前10名，大家加油!

    有7位网友表示赞同！

怀念·最初

CTF 让我意识到自己的弱点，还要继续努力提升技术水平。

    有9位网友表示赞同！

眉黛如画

参加 CTF 可以结识很多志同道合的朋友，很棒！

    有17位网友表示赞同！

慑人的傲气

感觉 CTF 比单纯玩代码更有趣味性，能学习到很多实用的知识。

    有12位网友表示赞同！

放肆丶小侽人

CTF 比赛的难度确实很大，但越过挑战就越有成就感。

    有9位网友表示赞同！

羁绊你

希望参加下一场 CTF 可以收获更多经验和教训。

    有9位网友表示赞同！

素颜倾城

对安全漏洞有了更深刻的理解，这在未来工作中很有用处。

    有16位网友表示赞同！

哥帅但不是蟋蟀

CTF 带给我了很多新想法和启发，让我更加热爱技术领域。

    有20位网友表示赞同！

轨迹！

准备买一本关于 CTF 的书籍，系统学习相关知识。

    有18位网友表示赞同！

月下独酌

想找一些专业的 CTF 教程，帮助自己更好地上手练习。

    有6位网友表示赞同！

你身上有刺，别扎我

未来一定会继续参与 CTF 比赛，不断挑战自我！

    有20位网友表示赞同！

【实战网络安全挑战：CTF竞赛指南】相关文章：

1.蛤蟆讨媳妇【哈尼族民间故事】

2.米颠拜石

3.王羲之临池学书

4.清代敢于创新的“浓墨宰相”——刘墉

5.“巧取豪夺”的由来－－米芾逸事

6.荒唐洁癖　惜砚如身（米芾逸事）

7.拜石为兄－－米芾逸事

8.郑板桥轶事十则

9.王献之被公主抢亲后的悲惨人生

10.史上真实张三丰：在棺材中竟神奇复活