嘶吼CTF2019总结(Web部分题目复现以及部分杂项)
首先,为了深刻理解本次嘶吼CTF中Web部分的所有题目,我们需要先了解Web安全的基本知识。
Web安全是指保护Web应用程序免受恶意攻击并防止它们被黑客窃取。Web应用程序容易成为黑客的攻击目标,因为它们通常拥有弱点且使用者很多。Web应用程序可以被使用者上载的恶意代码、配置错误、被篡改或简单的仿冒攻击。这些形式的攻击都可以导致数据泄露、身份盗窃、内部资产暴露或产生不满意的用户体验等问题。
在嘶吼CTF的Web部分中,我们需要通过掌握以下知识来解决各种题目:
1. 常见的Web漏洞及攻击方法,如SQL注入、XSS注入、文件包含、命令注入、CSRF跨站请求伪造、SSRF服务端请求伪造等。
2. 前后端交互的基本原理及常见协议,如HTTP、HTTPS、TCP/IP等。
3. Web应用的常见开发框架和技术,如PHP、Python、ASP.NET、Node.js、Django等。
4. Web应用的常见服务器软件,如Apache、Nginx、IIS等。
5. 数据库的基本操作和常见攻击方法,如SQL注入、NoSQL注入等。
6. Web应用程序的漏洞扫描及漏洞修复技术,如Burp Suite、OWASP ZAP、Metasploit等。
其中,在本次嘶吼CTF2019的Web部分中,主要涵盖了以下题目:
1. 新手村:
题目描述:小明因为喜欢计算机,加入了计算机兴趣小组。他的好朋友小东很想知道这个小组的网站是什么,但小明一直不告诉他。通过查找小明在网上连续发的几篇说的内容,虽然小明没有明确说出网址,但是通过一些线索,小东找到了这个小组的官网链接,但是需要密码才能打开。请帮小东破解密码,进入小组官网。
解题思路:根据题目中描述的线索,我们可以通过查找小明在网上连续发的几篇内容,找到了该小组官网的一段HTML注释,其中告诉我们可以通过访问一个特定的URL路径来获取密码。然后我们在浏览器中访问该URL路径,发现返回的是加密后的密码,再通过对密码进行解密,即可得到密码并登录官网。
2. 资源管理系统:
题目描述:这是一个简单的资源管理系统,其中包括了普通用户和管理员登陆入口,普通用户可以有权限申请和下载管理系统中的资料,管理员则可以审核并管理所有用户的申请和下载行为。请以普通用户的身份尝试绕过管理系统并直接下载资源。
解题思路:在该系统中,我们可以通过普通用户身份登录,并提交下载请求。在提交请求的消息传递过程中,我们发现了一条包含着下载链接的请求参数。通过直接更改该参数的值,我们便可以绕过系统中的审核流程,并直接下载资源。
3. Html 篡改:
题目描述:这是一个使用PHP和MySQL搭建的留言板,其中有一个管理员页面用于管理留言板的内容。在管理员页面中,当我们试图修改其他人留言时,系统会拦截并提示我们“msg id not match”。请尝试绕过该检测,并篡改别人的留言。
解题思路:在该系统中,我们可以通过管理员身份登录,进入管理员页面进行留言的管理操作。然而,在修改他人留言时,由于系统会检测msg id是否匹配,导致修改失败。但是,我们可以通过浏览器开发者工具,直接修改前端的HTML代码,抹去检测msg id是否匹配的代码并提交修改请求,便可以绕过检测并篡改别人的留言。
4. 命令注入:
题目描述:这是一个使用PHP和MySQL搭建的简单查询系统。你需要在这个查询系统中找到关键字flag。但是,你需要绕过系统中的限制,而且你只能使用一个查询条件来实现。
解题思路:在该系统中,我们可以通过单独查询用户名来绕过查询系统中的限制。然后,我们可以构造含有隐蔽命令的查询语句来实现命令注入,进而获取flag的值。
5. 文件上传:
题目描述:这是一个用来上传图片的系统。你需要上传一张绕过系统限制的图片,使得你可以成功地获取系统中的flag。
解题思路:在该系统中,我们可以通过构造含有特殊字符的文件名来绕过系统中的后缀限制,并上传包含PHP后门代码的图片。然后,我们可以利用该后门来执行任意命令和获取flag的值。
除此之外,在嘶吼CTF2019中还有许多其他领域的杂项题目,如密码学、逆向工程、二进制安全等。其中,密码学是Web安全中一个重要的分支,它涉及到加密、解密、密码破解、数字签名、公钥加密等多个方面。在密码学中,最为著名的算法就是RSA、AES、DES、MD5、SHA等。 对于想要学习密码学的人来说,建议可以先了解计算机科学中的数学基础,如模运算、欧几里得算法、费马小定理、欧拉定理、Miller-Rabin素性测试、离散对数问题等。
总的来说,嘶吼CTF2019中Web部分的各个题目,涉及到了Web安全的很多方面。要想熟练掌握这些知识点,并解决各种题目,需要我们在实践的过程中反复的思考、总结、提高。同时,还需要时刻关注Web安全领域的新技术和新漏洞,以便及时调整自己的防御策略。
购买后如果没出现相关链接,请刷新当前页面!!!
链接失效的请留言 ,我看见了就补上!!!
网站内容来源于互联网,我们将这些信息转载出来的初衷在于分享与学习,这并不意味着我们站点对这些信息的观点或真实性作出认可,我们也不承担对这些信息的责任。
适度游戏益脑,沉迷游戏伤身。 合理安排时间,享受健康生活。适龄提示:适合18岁以上使用!
发表评论 取消回复