SecurityCTF 入门
ctf 入门
大纲以及概览
ctf 的入门是一个很难的话题,网上的资源良莠不齐,尤其像 csdn 中的垃圾营销正在不断地污染简中互联网。
除此之外,ctf 也有很多方向,每个方向都很有趣,但每个方向想要精深都不是一件容易的事(其实这句话是废话,毕竟哪一行不是这样)
目前,大致的方向有: (以下由 ai 生成,但大差不差)
-
逆向工程(Reverse Engineering / RE): 这一方向主要考察选手对程序二进制文件(如
.exe、.so、.dll等)的分析能力。选手需要使用反汇编器和调试器等工具,通过分析程序的机器码或汇编代码,理解其内部逻辑和工作原理,找出隐藏的漏洞或解密算法,最终找到隐藏的 "flag"。这个方向通常需要具备汇编语言、C/C++语言和底层操作系统知识。 -
杂项(Miscellaneous / Misc): 顾名思义,这一类题目涵盖了各种不属于其他主要类别的知识点。题目形式多种多样,可能涉及:
- 隐写术(Steganography): 将信息隐藏在图片、音频、视频等文件中的技术。
- 流量分析(Network Traffic Analysis): 通过分析网络数据包(
.pcap文件),从中提取有用的信息。 - 取证(Forensics): 从硬盘镜像、内存转储等数字证据中寻找线索。
- 编程与算法(Programming & Algorithms): 编写脚本解决特定问题,或者运用算法知识进行解题。
- 其他新颖的题目: 考验选手的综合分析能力和创新思维,如二维码、电子元件等。
-
Web 安全(Web Security): 这一类别主要围绕网络应用的漏洞展开。选手需要发现并利用网站中的常见漏洞,例如:
- SQL 注入(SQL Injection): 利用数据库查询的漏洞获取信息。
- 跨站脚本(Cross-site Scripting - XSS): 在网页中注入恶意脚本。
- 文件上传漏洞(File Upload Vulnerability): 利用上传功能执行恶意代码。
- 目录遍历(Directory Traversal): 访问服务器上未授权的文件。
- 其他: 如命令注入、反序列化、弱口令等。
-
密码学(Cryptography / Crypto): 这一方向主要考察选手对各种加密算法的理解和破解能力。题目可能涉及:
- 古典密码(Classical Ciphers): 如凯撒密码、维吉尼亚密码等。
- 现代密码(Modern Ciphers): 如对称加密(AES)、非对称加密(RSA)、哈希算法等。
- 自研加密算法(Custom Algorithms): 比赛中出题人自己设计的简易加密算法。
- 漏洞利用: 寻找算法实现中的弱点进行攻击。
-
二进制漏洞利用(Pwn / Exploitation): 俗称“PWN”,是 Hack 掉服务器的意思。这个方向需要选手利用程序中的二进制漏洞(如缓冲区溢出、格式化字符串漏洞等),获取服务器的控制权,从而获取 flag。它通常与逆向工程紧密相关,需要对程序的底层内存布局和执行流程有深入的理解。
你可以在 hello-ctf 中阅读更多,这是一个由探姬老师发起的项目。
持续更新中...