CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称为“Flag”。
以我国的CTF赛事来总结,题目通常分为:WEB、逆向、PWN、移动安全、密码学和杂项。
CTF题目类型
web
- sql注入
- xss
- 文件上传
- 包含漏洞
- xxe
- ssrf
- 命令执行
- 代码审计
pwn
攻击远程服务器的服务
会提供服务程序的二进制文件
分析漏洞并写出exp
栈溢出、堆溢出
绕过保护机制(ASLR,NX等)
Reverse
逆向,破解程序的算法来得到程序中的flag
对抗反调试、代码混淆等等
Mobile
- 主要考察选手对安卓和ios系统的理解
密码学
现代密码
古典密码
杂项
那么哪种题目叫杂项呢?只要不属于上述类别的题目统称为杂项。
隐写
取证
编解码
PS
压缩包
编程
...
解题思路
这些题目通常都会给一个文件这些文件可以是压缩包,MP3,paf,图片文件受损,需要修复(常见的是缺少文件头)
给的文件无后缀该怎么判断文件类型
binwalk、file等寻找合适的工具常用的工具:
https://github.com/zardus/ctf-tools
https://github.com/apsdehal/awesome-ctf
