CTF(Capture The Flag)中文一般譯作奪旗賽,在網(wǎng)絡(luò)安全領(lǐng)域中指的是網(wǎng)絡(luò)安全技術(shù)人員之間進(jìn)行技術(shù)競(jìng)技的一種比賽形式夕晓。其大致流程是亭畜,參賽團(tuán)隊(duì)之間通過(guò)進(jìn)行攻防對(duì)抗循集、程序分析等形式掸哑,率先從主辦方給出的比賽環(huán)境中得到一串具有一定格式的字符串或其他內(nèi)容,并將其提交給主辦方筋栋,從而奪得分?jǐn)?shù)炊汤。為了方便稱(chēng)呼,我們把這樣的內(nèi)容稱(chēng)為“Flag”弊攘。
以我國(guó)的CTF賽事來(lái)總結(jié)抢腐,題目通常分為:WEB、逆向肴颊、PWN、移動(dòng)安全渣磷、密碼學(xué)和雜項(xiàng)婿着。
CTF題目類(lèi)型
web
- sql注入
- xss
- 文件上傳
- 包含漏洞
- xxe
- ssrf
- 命令執(zhí)行
- 代碼審計(jì)
pwn
攻擊遠(yuǎn)程服務(wù)器的服務(wù)
會(huì)提供服務(wù)程序的二進(jìn)制文件
分析漏洞并寫(xiě)出exp
棧溢出、堆溢出
繞過(guò)保護(hù)機(jī)制(ASLR,NX等)
Reverse
逆向醋界,破解程序的算法來(lái)得到程序中的flag
對(duì)抗反調(diào)試竟宋、代碼混淆等等
Mobile
- 主要考察選手對(duì)安卓和ios系統(tǒng)的理解
密碼學(xué)
現(xiàn)代密碼
古典密碼
雜項(xiàng)
那么哪種題目叫雜項(xiàng)呢?只要不屬于上述類(lèi)別的題目統(tǒng)稱(chēng)為雜項(xiàng)形纺。
隱寫(xiě)
取證
編解碼
PS
壓縮包
編程
...
解題思路
這些題目通常都會(huì)給一個(gè)文件這些文件可以是壓縮包丘侠,MP3,paf逐样,圖片文件受損蜗字,需要修復(fù)(常見(jiàn)的是缺少文件頭)
給的文件無(wú)后綴該怎么判斷文件類(lèi)型
binwalk打肝、file等尋找合適的工具常用的工具:
https://github.com/zardus/ctf-tools
https://github.com/apsdehal/awesome-ctf
