Open yzdily opened 3 years ago
CTF预置了已知漏洞 渗透测试挖掘未知漏洞 CTF模拟了大部分攻防手法 实战渗透学习被大量限制
多元化CTF-模式 AWD攻防模式简介AWD:Attack With Defence,你还得会修防,还得会攻。 CTF传统解题:题目一个个的破解即可。 CTF运维赛:以运维工程角度PK安全技能为主。 CTF个人赛:以个人为单位,进行相关模式的PK。 CTF团体赛:以多人为单位,进行相关模式的PK。 …
多元化CTF-WEB CTF-WEB能拿Flag的点有很多,分别从低中高三个档次不等 前端HTML查看源代码
多次编码解密 HTTP协议头修改 用Python比速度 绕过安全保护机制 … WEB安全测试能找到的漏洞难度也不一样,如: 银行系统,商城系统,OA办公系统,人力资源系统,邮件系统 …
多元化CTF-WEB-学习条件 中间件的基础:Apache、IIS、Nginx、WebLogic、Tomcat等 数据库的基础:Oracle、MySql、SqlServer等 编程语言基础:PHP、Python、PythonWeb、Java、JavaWeb等 安全漏洞基础:XSS、CSRF、SSRF、SQL注入、文件包含、URL跳转等 安全手段基础:信息收集、暴力破解、端口转发等 WAF绕过基础:安全狗、护卫神、360、D盾等 漏洞工具基础:Nmap、SqlMap、BurpSuite、Metasploit等 题目脑洞基础:(无法用语言形容,看汗水和智商!) 代码审计基础:PHP代码审计、PythonWeb代码审计、JavaWeb代码审计等 权限提升基础:第三方组件提权、FTP提权、数据库提权、Shell提权等
多元化CTF-RE逆向 CTF-RE 可逆向,代码量大部分不是很大。 大部分是已知的算法和世面上已知的壳 工作中的RE 逆向代码量大的吓人 未知的壳、未知的算法
多元化CTF-RE-学习条件 编程语言基础:C/C++、 x86汇编、x64汇编等 分析工具基础:OD、IDA、Windbg、gdb等 操作系统基础:Windows API、Windows内核、Linux内核等 文件结构基础:PE文件结构、ELF文件结构等 文件脱壳基础:压缩壳、混淆壳、加密壳等 解题细节基础:编码解码、基础算法等 其他语言基础:安卓、IOS等 其他技能基础:堆栈结构、内存结构、数据结构、协议基础等
多元化CTF-PWN Pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。 CTF 中主要考察二进制漏洞的发掘和利用,需要对计算机操作系统底层有一定的了 解。在 CTF 竞赛中,PWN 题目主要出现在 Linux 平台上。 CTF-PWN Ø 一定是有漏洞的,可利用的。 Ø 基础好1小时大概率可完成该题目的破解 工作中的PWN • 未知的漏洞 • 找个漏洞,未知时间
多元化CTF-PWN-学习条件 编程语言基础:C/C++、x86汇编、x64汇编、Python、ARM汇编等 操作系统基础:Linux内核基础、Windows内核基础 调试工具基础:IDA、Gdb、PwnTools等 安全漏洞基础:堆溢出、栈溢出、格式化字符串、ROP、Unlink、Uaf等 其他技能基础:(你底层会多少,学习起来速度就越快!)
多元化CTF-MISC CTF-MISC Ø 一定是可解的题目 Ø MISC外号万能胶水,所有领域技术都可以粘合 Ø (比如PWN题里掺杂WEB等) 无话可说 工作中的MISC • 你1个人做10个安全攻城狮的任务 • (无法准确定义工作中的MISC,杂项:大杂烩)
多元化CTF-MISC-学习条件 Ø流量分析:各种流量等 Ø图片隐写:Exif、图像尾部、LSB等 Ø文件雕修:Binwalk、DD、foremost、十六进制文本编辑器等 Ø压缩文件:伪加密、CRC32爆破、已知明文攻击等 Ø音频文件:莫尔斯、MP3、频谱隐写等 Ø视频文件:MSU StegoVideo、Ffmpeg等 Ø镜像分析:内存镜像等 Ø其他基础:(互联网所有东西!)
多元化CTF-Crypto(密码学) CTF-Crypto Ø 一定是可解的题目 Ø 啥算法都可能是题目 工作中的Crypto • 1个密码有可能怼5-10年 • 利用密码制作出独特的算法
多元化CTF-Crypto-学习条件 Ø 古典密码:置换密码、栅栏密码、曲路密码、列位移密码等 Ø 替代密码:凯撒密码、维吉尼亚密码、希尔密码、Palyfair密码等 Ø 现代密码:对称密码、序列密码(AES)、公钥密码(RSA)等 Ø 哈希函数:MD5、SHA-1、SHA-512等 Ø 其他:消息认证码、消息认证码MAC、 数字签名、标准数字DSA等 Ø 编程基础:C/C++、Python等
CTF+渗透学习攻略解析(兴奋剂元素抽取方法) CTF 方向都玩一遍,选1个你最喜欢的、编程基础非常重要,选1个你最喜欢的 勿忘初心,时不时你要回到原点看下。 每个人学习兴奋的时候,元素点都不一样,如: WEB-GetShell PWN-GetShell 解决抵御电信诈骗 帮女盆友找回QQ 复现出黑客电影中的某个场景中的技术 通过某些事情有了很强大的存在感、自豪感 RE-第一次看懂汇编 WEB-第一次SQL注入
CTF+渗透学习攻略解析(兴奋剂元素寻找条件) 场景一:家庭父母或亲戚反对你学计算机 场景二:你的亲戚就是做IT行业的,就是不帮你 场景三:你在学校成绩很差,根本没有存在感 场景四:老师根本不看好你,觉得你很渣渣 场景五:因为家庭条件报不起信息安全实地培训班 场景六:你CTF很牛逼,学校就是不支持你 场景七:你周围没有任何信息安全小伙伴或知音 场景八:患有游戏网瘾的你,找不到任何出路 场景九:自学安全拜师老被骗钱拉黑 场景十:学安全放弃了好几次,不知道原因 寻找学习兴奋剂元素,需要环境的辅助,遇到反刺激成长时期更容易解放自我!(别挖过劲,注意把控) 场景十一:老觉得自己不自信,自己不如人家 场景十二:觉得信息安全工资好高 场景十三:遇到问题,不断的想寻找答案 场景十四:黑客电影看多了,就是觉得牛逼 场景十五:中专老师的安全水平不如我 场景十六:我在的大学根本没有信息安全专业 场景十七:在网络里交流没人回答我问题,都是斗图 场景十八:我的家乡穷,不懂信息安全 场景十九:我周围的伙伴太牛逼,不敢吭声 场景二十:我就想给自己账号刷个VIP
多元化CTF-区别浅析
CTF预置了已知漏洞 渗透测试挖掘未知漏洞 CTF模拟了大部分攻防手法 实战渗透学习被大量限制
多元化CTF-模式 AWD攻防模式简介AWD:Attack With Defence,你还得会修防,还得会攻。 CTF传统解题:题目一个个的破解即可。 CTF运维赛:以运维工程角度PK安全技能为主。 CTF个人赛:以个人为单位,进行相关模式的PK。 CTF团体赛:以多人为单位,进行相关模式的PK。 …
多元化CTF-WEB CTF-WEB能拿Flag的点有很多,分别从低中高三个档次不等 前端HTML查看源代码
多次编码解密 HTTP协议头修改 用Python比速度 绕过安全保护机制 … WEB安全测试能找到的漏洞难度也不一样,如: 银行系统,商城系统,OA办公系统,人力资源系统,邮件系统 …
多元化CTF-WEB-学习条件 中间件的基础:Apache、IIS、Nginx、WebLogic、Tomcat等 数据库的基础:Oracle、MySql、SqlServer等 编程语言基础:PHP、Python、PythonWeb、Java、JavaWeb等 安全漏洞基础:XSS、CSRF、SSRF、SQL注入、文件包含、URL跳转等 安全手段基础:信息收集、暴力破解、端口转发等 WAF绕过基础:安全狗、护卫神、360、D盾等 漏洞工具基础:Nmap、SqlMap、BurpSuite、Metasploit等 题目脑洞基础:(无法用语言形容,看汗水和智商!) 代码审计基础:PHP代码审计、PythonWeb代码审计、JavaWeb代码审计等 权限提升基础:第三方组件提权、FTP提权、数据库提权、Shell提权等
多元化CTF-RE逆向 CTF-RE 可逆向,代码量大部分不是很大。 大部分是已知的算法和世面上已知的壳 工作中的RE 逆向代码量大的吓人 未知的壳、未知的算法
多元化CTF-RE-学习条件 编程语言基础:C/C++、 x86汇编、x64汇编等 分析工具基础:OD、IDA、Windbg、gdb等 操作系统基础:Windows API、Windows内核、Linux内核等 文件结构基础:PE文件结构、ELF文件结构等 文件脱壳基础:压缩壳、混淆壳、加密壳等 解题细节基础:编码解码、基础算法等 其他语言基础:安卓、IOS等 其他技能基础:堆栈结构、内存结构、数据结构、协议基础等
多元化CTF-PWN Pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。 CTF 中主要考察二进制漏洞的发掘和利用,需要对计算机操作系统底层有一定的了 解。在 CTF 竞赛中,PWN 题目主要出现在 Linux 平台上。 CTF-PWN Ø 一定是有漏洞的,可利用的。 Ø 基础好1小时大概率可完成该题目的破解 工作中的PWN • 未知的漏洞 • 找个漏洞,未知时间
多元化CTF-PWN-学习条件 编程语言基础:C/C++、x86汇编、x64汇编、Python、ARM汇编等 操作系统基础:Linux内核基础、Windows内核基础 调试工具基础:IDA、Gdb、PwnTools等 安全漏洞基础:堆溢出、栈溢出、格式化字符串、ROP、Unlink、Uaf等 其他技能基础:(你底层会多少,学习起来速度就越快!)
多元化CTF-MISC CTF-MISC Ø 一定是可解的题目 Ø MISC外号万能胶水,所有领域技术都可以粘合 Ø (比如PWN题里掺杂WEB等) 无话可说 工作中的MISC • 你1个人做10个安全攻城狮的任务 • (无法准确定义工作中的MISC,杂项:大杂烩)
多元化CTF-MISC-学习条件 Ø流量分析:各种流量等 Ø图片隐写:Exif、图像尾部、LSB等 Ø文件雕修:Binwalk、DD、foremost、十六进制文本编辑器等 Ø压缩文件:伪加密、CRC32爆破、已知明文攻击等 Ø音频文件:莫尔斯、MP3、频谱隐写等 Ø视频文件:MSU StegoVideo、Ffmpeg等 Ø镜像分析:内存镜像等 Ø其他基础:(互联网所有东西!)
多元化CTF-Crypto(密码学) CTF-Crypto Ø 一定是可解的题目 Ø 啥算法都可能是题目 工作中的Crypto • 1个密码有可能怼5-10年 • 利用密码制作出独特的算法
多元化CTF-Crypto-学习条件 Ø 古典密码:置换密码、栅栏密码、曲路密码、列位移密码等 Ø 替代密码:凯撒密码、维吉尼亚密码、希尔密码、Palyfair密码等 Ø 现代密码:对称密码、序列密码(AES)、公钥密码(RSA)等 Ø 哈希函数:MD5、SHA-1、SHA-512等 Ø 其他:消息认证码、消息认证码MAC、 数字签名、标准数字DSA等 Ø 编程基础:C/C++、Python等
CTF+渗透学习攻略解析(兴奋剂元素抽取方法) CTF 方向都玩一遍,选1个你最喜欢的、编程基础非常重要,选1个你最喜欢的 勿忘初心,时不时你要回到原点看下。 每个人学习兴奋的时候,元素点都不一样,如: WEB-GetShell PWN-GetShell 解决抵御电信诈骗 帮女盆友找回QQ 复现出黑客电影中的某个场景中的技术 通过某些事情有了很强大的存在感、自豪感 RE-第一次看懂汇编 WEB-第一次SQL注入
CTF+渗透学习攻略解析(兴奋剂元素寻找条件) 场景一:家庭父母或亲戚反对你学计算机 场景二:你的亲戚就是做IT行业的,就是不帮你 场景三:你在学校成绩很差,根本没有存在感 场景四:老师根本不看好你,觉得你很渣渣 场景五:因为家庭条件报不起信息安全实地培训班 场景六:你CTF很牛逼,学校就是不支持你 场景七:你周围没有任何信息安全小伙伴或知音 场景八:患有游戏网瘾的你,找不到任何出路 场景九:自学安全拜师老被骗钱拉黑 场景十:学安全放弃了好几次,不知道原因 寻找学习兴奋剂元素,需要环境的辅助,遇到反刺激成长时期更容易解放自我!(别挖过劲,注意把控) 场景十一:老觉得自己不自信,自己不如人家 场景十二:觉得信息安全工资好高 场景十三:遇到问题,不断的想寻找答案 场景十四:黑客电影看多了,就是觉得牛逼 场景十五:中专老师的安全水平不如我 场景十六:我在的大学根本没有信息安全专业 场景十七:在网络里交流没人回答我问题,都是斗图 场景十八:我的家乡穷,不懂信息安全 场景十九:我周围的伙伴太牛逼,不敢吭声 场景二十:我就想给自己账号刷个VIP