CTF从入门到精通
文章目录
- 背景知识
- CTF赛制
背景知识
CTF赛制
1.web安全:通过浏览器访问题目服务器上的网站,寻找网站漏洞(sql注入,xss(钓鱼链接),文件上传,包含漏洞,xxe,ssrf,命令执行,代码审计等),利用网站漏洞获得服务器的部分或全部权限,拿到flag,通常包含分值最大的web渗透题;
2.逆向工程(Reverse):题目就是一个软件,但通常没有软件的源代码;需要利用工具对软件进行反编译甚至反汇编,从而理解软件内部逻辑和原理,找出与flag计算相关的算法并破解这个算法,获取flag;
3.漏洞挖掘与漏洞利用(PWN,EXPLOIT ):访问一个本地或远程的二进制服务程序,通过逆向工程找出程序中存在的漏洞,并利用程序中的漏洞获取远程服务器的部分或全部权限,拿到flag;