嘶吼CTF2019总结(Web部分题目复现以及部分杂项)，新媒体运营零基础怎么学的

嘶吼CTF2019总结(Web部分题目复现以及部分杂项)

首先，为了深刻理解本次嘶吼CTF中Web部分的所有题目，我们需要先了解Web安全的基本知识。

Web安全是指保护Web应用程序免受恶意攻击并防止它们被黑客窃取。Web应用程序容易成为黑客的攻击目标，因为它们通常拥有弱点且使用者很多。Web应用程序可以被使用者上载的恶意代码、配置错误、被篡改或简单的仿冒攻击。这些形式的攻击都可以导致数据泄露、身份盗窃、内部资产暴露或产生不满意的用户体验等问题。

在嘶吼CTF的Web部分中，我们需要通过掌握以下知识来解决各种题目：

1. 常见的Web漏洞及攻击方法，如SQL注入、XSS注入、文件包含、命令注入、CSRF跨站请求伪造、SSRF服务端请求伪造等。

2. 前后端交互的基本原理及常见协议，如HTTP、HTTPS、TCP/IP等。

3. Web应用的常见开发框架和技术，如PHP、Python、ASP.NET、Node.js、Django等。

4. Web应用的常见服务器软件，如Apache、Nginx、IIS等。

5. 数据库的基本操作和常见攻击方法，如SQL注入、NoSQL注入等。

6. Web应用程序的漏洞扫描及漏洞修复技术，如Burp Suite、OWASP ZAP、Metasploit等。

其中，在本次嘶吼CTF2019的Web部分中，主要涵盖了以下题目：

1. 新手村：

题目描述：小明因为喜欢计算机，加入了计算机兴趣小组。他的好朋友小东很想知道这个小组的网站是什么，但小明一直不告诉他。通过查找小明在网上连续发的几篇说的内容，虽然小明没有明确说出网址，但是通过一些线索，小东找到了这个小组的官网链接，但是需要密码才能打开。请帮小东破解密码，进入小组官网。

解题思路：根据题目中描述的线索，我们可以通过查找小明在网上连续发的几篇内容，找到了该小组官网的一段HTML注释，其中告诉我们可以通过访问一个特定的URL路径来获取密码。然后我们在浏览器中访问该URL路径，发现返回的是加密后的密码，再通过对密码进行解密，即可得到密码并登录官网。

2. 资源管理系统：

题目描述：这是一个简单的资源管理系统，其中包括了普通用户和管理员登陆入口，普通用户可以有权限申请和下载管理系统中的资料，管理员则可以审核并管理所有用户的申请和下载行为。请以普通用户的身份尝试绕过管理系统并直接下载资源。

解题思路：在该系统中，我们可以通过普通用户身份登录，并提交下载请求。在提交请求的消息传递过程中，我们发现了一条包含着下载链接的请求参数。通过直接更改该参数的值，我们便可以绕过系统中的审核流程，并直接下载资源。

3. Html 篡改：

题目描述：这是一个使用PHP和MySQL搭建的留言板，其中有一个管理员页面用于管理留言板的内容。在管理员页面中，当我们试图修改其他人留言时，系统会拦截并提示我们“msg id not match”。请尝试绕过该检测，并篡改别人的留言。

解题思路：在该系统中，我们可以通过管理员身份登录，进入管理员页面进行留言的管理操作。然而，在修改他人留言时，由于系统会检测msg id是否匹配，导致修改失败。但是，我们可以通过浏览器开发者工具，直接修改前端的HTML代码，抹去检测msg id是否匹配的代码并提交修改请求，便可以绕过检测并篡改别人的留言。

4. 命令注入：

题目描述：这是一个使用PHP和MySQL搭建的简单查询系统。你需要在这个查询系统中找到关键字flag。但是，你需要绕过系统中的限制，而且你只能使用一个查询条件来实现。

解题思路：在该系统中，我们可以通过单独查询用户名来绕过查询系统中的限制。然后，我们可以构造含有隐蔽命令的查询语句来实现命令注入，进而获取flag的值。

5. 文件上传：

题目描述：这是一个用来上传图片的系统。你需要上传一张绕过系统限制的图片，使得你可以成功地获取系统中的flag。

解题思路：在该系统中，我们可以通过构造含有特殊字符的文件名来绕过系统中的后缀限制，并上传包含PHP后门代码的图片。然后，我们可以利用该后门来执行任意命令和获取flag的值。

除此之外，在嘶吼CTF2019中还有许多其他领域的杂项题目，如密码学、逆向工程、二进制安全等。其中，密码学是Web安全中一个重要的分支，它涉及到加密、解密、密码破解、数字签名、公钥加密等多个方面。在密码学中，最为著名的算法就是RSA、AES、DES、MD5、SHA等。 对于想要学习密码学的人来说，建议可以先了解计算机科学中的数学基础，如模运算、欧几里得算法、费马小定理、欧拉定理、Miller-Rabin素性测试、离散对数问题等。

总的来说，嘶吼CTF2019中Web部分的各个题目，涉及到了Web安全的很多方面。要想熟练掌握这些知识点，并解决各种题目，需要我们在实践的过程中反复的思考、总结、提高。同时，还需要时刻关注Web安全领域的新技术和新漏洞，以便及时调整自己的防御策略。