CTF(Capture The Flag,夺旗赛)

1. 简介
• 从比赛环境中得到一串具有一定格式的字符串或其他内容，提交夺得分数。
• 为了方便称呼，我们把这样的内容称之为“Flag”。一般的格式：flag{xxxxx}
• flag所表示的为目标服务器上存储的一些敏感机密的信息。

2. 比赛形式
• 线上：在线做题并提交flag。
• 线下：现场接入比赛网络进行比赛，线下多为AWD模式。
AWD(Attack with Defense) 攻防模式: 为每个参赛队分配要防守的主机(GameBox)，每个队伍之间的GameBox配置及漏洞是完全一致的，选手需要防护自己的GameBox不被攻击的同时挖掘漏洞并攻击对手服务来得分。

3. 题目类型—Web方向
• Web类题目大部分情况下和网、Web、HTTP等相关技能有关。
• 主要考察选手对于Web攻防的一些知识技巧。
• 如SQL注入、XSS、代码执行、代码审计等等。一般情况下Web题目只会给出一个能够访问的URL，部分题目会给出附件。

Web(World Wide Web,全球广域网)

1. Web简介
• 发展：静态 —> 动态
• 简单的Web工作流程



• HTTP协议：用于传输超媒体文档(如HTML)的应用层协议，遵循经典的客户端—-服务端 模型





Status code	含义	Status message
200	请求成功	OK
404	网址不存在	Not Found
403	禁止访问	Forbidden
302	重定向	Moved Temporarily
500	服务器错误	Internet Server Error

2. 漏洞总览

前端 攻击用户

• XSS(Cross-site scripting) X是为了与CSS语言区分
向网站插入恶意的JavaScript脚本 控制用户的浏览器行为。
·HTTP cookie：供服务器识别身份的小文本文件。
eg.通过JS把cookie带出来。
• csrf(Cross Site Request Forgery)



• Xs-leak(Cross-site leaks)：滥用合法机制来推断有关用户的信息。
• 点击劫持：正常网页前打开了一个透明网页，点击1个按钮实际点到了2个网页的按钮。

后端 攻击服务器

• 文件上传：上传了一个可执行的脚本文件，通过此脚本文件获得了执行服务器命令的漏洞。 常用于.php —> 执行服务器操作系统的命令。
eg.一句话木马
• 文件包含：一个文件里面include另外一个/多个文件。 常见于.php
• 目录穿越(目录遍历/directory traversal/path traversal)：利用../返回上一级目录，再穿越到其他目录。
• 命令注入 与 代码注入：利用Web应用在输入校验上的逻辑缺陷 或 部分脚本本身存在的 代码/指令 执行漏洞实现攻击。
方法：
做一个代码审计
命令注入

eg. echo 1 ; ls //”;”隔开的两个命令都能执行

eg. echo 1 | ls //”|”(管道符)隔开的两个命令只执行后面的命令

 
• ssrf(Server Side Request Forgery)

常用工具

1. HackBar
• Load：把浏览器地址栏的URL加载到HackBar中
• Enable POST：使用POST方法
• EXECUTE：去访问URL栏中的网站
• TEST：对网站路径爆破，测试路径里有什么
• SQLI：一些关于SQL注入的Payload
• XSS：生成一个XSS的Payload
• LFI：生成一个本地文件读取的Payload
• SSTI：模板注入（通过框架）
• SHELL：把被攻击的命令提示栏弹到自己的服务器上
• ENCODING：编码/解码
• HASHING：可以生成哈希值

2. 蚁剑
• 可以可视化的使用一句话木马。

3. Burp Suit
• 抓包工具。

4. nmap
• 可以快速地扫描大型网络、以新颖的方式使用原始IP报文来发现网络上有哪些主机，那些主机提供什么服务(应用程序名和版本)。

5. Sqlmap
• 是一个自动化的SQL注入工具，其主要功能是扫描，发现并利用给定的URL进行SQL注入。目前支持的数据库有MySQL，Oracle，Access，PostageSQL，SQL Server，IBM DB2，SQLite，Firebird，Sybase和SAP MaxDB等。