CTF学习经验分享(Web方向)

        本人Web安全初学者,记录分享一下学习历程,推荐评价仅代表个人观点,不足之处欢迎各位表哥指正……

CTF基础知识:

分类: 基础知识 | CTFHubEnjoy your's CTFhttps://writeup.ctfhub.com/categories/Skill/%E5%9F%BA%E7%A1%80%E7%9F%A5%E8%AF%86/        CTFHub这里讲得很全面了……题目类型、比赛模式都有

学习视频:

        1. i春秋渗透测试工程师就业班-基础篇vm和Linux上_视频教程_i春秋_培育信息时代的安全感!https://www.ichunqiu.com/course/68627        i春秋出品的渗透测试工程师就业班第一个月的内容,主要讲解了vm虚拟机与Linux系统的使用,Linux与Windows基础命令,计算机网络基础知识以及Web开发的基础方法(HTML,JS,CSS,PHP,Mysql),讲得十分详细,很适合小白补充Web方面的基础知识。(不是广告,讲得确实不错,还免费,不过我没报正式的就业班…太贵了)

        2. i春秋渗透测试工程师就业班-体验课【渗透测试工程师(体验课)】_实战教学_名师面授_培训认证_ i春秋i春秋致力于Web安全工程师培训,面向零基础想从事Web安全工程师的安全行业求职者;IT从业者转Web安全工程师;对Web安全工程师感兴趣的在校生和毕业大学生。I春秋已与百度、360、知道创宇等知名互联网公司取得战略合作,建立长期人才输出渠道,培养互联网行业新贵。https://www.ichunqiu.com/train/course/40?i=2        需要花1元购买,开放了基础篇以外章节的部分课程,讲解了Webshell的使用,sql注入基本手法(报错注入、布尔盲注、事件盲注,但没有联合注入,建议先自学这个),Python爬虫等,都是做CTF题中经常涉及到的技术点,讲得很细,比较适合初学。(…也可找其他资源逐一自学)

        3.涅普计划-ctf入门课涅普计划-ctf入门课_哔哩哔哩_bilibili涅普计划公益活动,每晚七点,课程表在宣传视频最后。课程附件地址https://ctf.hzyxxl.com/nep课程练习题https://camp.hackingfor.fun/https://www.bilibili.com/video/BV1VA411u7Tg        Nepnep联合战队出品的课程,每个方向都有讲解,Web部分讲得比较好,把大部分题中涉及到的知识点、工具的使用都做了讲解,Misc部分稍微有点乱,但也介绍了很多工具和题型,值得一看。(我只看了这两部分……

线上靶场:

        1. 攻防世界https://adworld.xctf.org.cn/https://adworld.xctf.org.cn/        xctf出品的靶场,界面炫酷,花里胡哨的挺多(不是贬义),新手练习区的题挺浅显易懂的,适合入门,高手进阶区的题多为比赛真题,站内Writeup质量挺高,表哥们会分享很多自己的思路,很适合参考学习。(我大部分时间都在这刷的

        2.We Chall[WeChall] Challengeshttps://www.wechall.net/challs         国外的靶场,题型比较杂,难度逐步递增,据说很多大佬都是从这刷题成长起来的

        3.Hacker101Home | Hacker101https://www.hacker101.com/        朋友推荐的国外靶场,也有视频课(没有字幕,但b站有翻译过的,我还没看),题型主要以Web为主,难度还可以。

        4. CTFHubCTFHubhttps://www.ctfhub.com/#/index

        也是朋友推荐的,题目分类比较清晰(在技能树那挨个点进去可以循序渐进的学习),很适合初学,而且查找近期赛程特别方便,赛程表清晰明了。(后悔没有早遇到……

        5. sqli-labsGitHub - Audi-1/sqli-labs: SQLI labs to test error based, Blind boolean based, Time based.https://github.com/Audi-1/sqli-labs        需要自己搭建的sql注入练习靶场,相当经典了,各种注入技巧都可以练习到,不过自己搭建可能会出问题(可能需要切换PHP版本,我在kali里就没整明白),所以建议在docker中搭建,仅需安装docker后运行

sudo docker run -it -d -p 12345:80 acgpiano/sqli-labs

再访问127.0.0.1:12345就可以了。

———————————————————————————————————————————

        暂时先分享这些,发现更好的学习资源再来补……目前感觉学习CTF没有什么系统的方法,就是从兴趣入手,对哪方面感兴趣就先学习哪方面,基础知识掌握后就多做题,每弄懂一道不会的题就会多掌握一部分的知识,Web题涉及到的知识很杂,sql注入、源码泄露、文件上传、文件包含、反序列化、Python框架漏洞、命令执行、各种函数的漏洞、各种绕过等等等等…只能自己一点一点积累,如果有兴趣,过程就不会那么枯燥。总之,一起加油吧!即使因为环境所迫未来没有机会好好的参加比赛或是拿不到什么名次,我依然相信这过程中学到的技术技巧总会有用武之地。(我们学校完全没有CTF学习的环境与资源,更没有战队,哎……

热门文章

暂无图片
编程学习 ·

Java输出数组的内容

Java输出数组的内容_一万个小时-CSDN博客_java打印数组内容1. 输出内容最常见的方式// List<String>类型的列表List<String> list new ArrayList<String>();list.add("First");list.add("Second");list.add("Third");list.ad…
暂无图片
编程学习 ·

母螳螂的“魅惑之术”

在它们对大蝗虫发起进攻的时候&#xff0c;我认认真真地观察了一次&#xff0c;因为它们突然像触电一样浑身痉挛起来&#xff0c;警觉地面对限前这个大家伙&#xff0c;然后放下自己优雅的身段和祈祷的双手&#xff0c;摆出了一个可怕的姿势。我被眼前的一幕吓到了&#xff0c;…
暂无图片
编程学习 ·

疯狂填词 mad_libs 第9章9.9.2

#win7 python3.7.0 import os,reos.chdir(d:\documents\program_language) file1open(.\疯狂填词_d9z9d2_r.txt) file2open(.\疯狂填词_d9z9d2_w.txt,w) words[ADJECTIVE,NOUN,VERB,NOUN] str1file1.read()#方法1 for word in words :word_replaceinput(fEnter a {word} :)str1…
暂无图片
编程学习 ·

HBASE 高可用

为了保证HBASE是高可用的,所依赖的HDFS和zookeeper也要是高可用的. 通过参数hbase.rootdir指定了连接到Hadoop的地址,mycluster表示为Hadoop的集群. HBASE本身的高可用很简单,只要在一个健康的集群其他节点通过命令 hbase-daemon.sh start master启动一个Hmaster进程,这个Hmast…
暂无图片
编程学习 ·

js事件操作语法

一、事件的绑定语法 语法形式1 事件监听 标签对象.addEventListener(click,function(){}); 语法形式2 on语法绑定 标签对象.onclick function(){} on语法是通过 等于赋值绑定的事件处理函数 , 等于赋值本质上执行的是覆盖赋值,后赋值的数据会覆盖之前存储的数据,也就是on…
暂无图片
编程学习 ·

Photoshop插件--晕影动态--选区--脚本开发--PS插件

文章目录1.插件界面2.关键代码2.1 选区2.2 动态晕影3.作者寄语PS是一款栅格图像编辑软件&#xff0c;具有许多强大的功能&#xff0c;本文演示如何通过脚本实现晕影动态和选区相关功能&#xff0c;展示从互联网收集而来的一个小插件&#xff0c;供大家学习交流&#xff0c;请勿…
暂无图片
编程学习 ·

vs LNK1104 无法打开文件“xxx.obj”

写在前面&#xff1a; 向大家推荐两本新书&#xff0c;《深度学习计算机视觉实战》和《学习OpenCV4&#xff1a;基于Python的算法实战》。 《深度学习计算机视觉实战》讲了计算机视觉理论基础&#xff0c;讲了案例项目&#xff0c;讲了模型部署&#xff0c;这些项目学会之后可以…
暂无图片
编程学习 ·

工业元宇宙的定义与实施路线图

工业元宇宙的定义与实施路线图 李正海 1 工业元宇宙 给大家做一个关于工业元宇宙的定义。对于工业&#xff0c;从设计的角度来讲&#xff0c;现在的设计人员已经做到了普遍的三维设计&#xff0c;但是进入元宇宙时代&#xff0c;就不仅仅只是三维设计了&#xff0c;我们的目…
暂无图片
编程学习 ·

【leectode 2022.1.15】完成一半题目

有 N 位扣友参加了微软与力扣举办了「以扣会友」线下活动。主办方提供了 2*N 道题目&#xff0c;整型数组 questions 中每个数字对应了每道题目所涉及的知识点类型。 若每位扣友选择不同的一题&#xff0c;请返回被选的 N 道题目至少包含多少种知识点类型。 示例 1&#xff1a…
暂无图片
编程学习 ·

js 面试题总结

一、js原型与原型链 1. prototype 每个函数都有一个prototype属性&#xff0c;被称为显示原型 2._ _proto_ _ 每个实例对象都会有_ _proto_ _属性,其被称为隐式原型 每一个实例对象的隐式原型_ _proto_ _属性指向自身构造函数的显式原型prototype 3. constructor 每个prot…
暂无图片
编程学习 ·

java练习代码

打印自定义行数的空心菱形练习代码如下 import java.util.Scanner; public class daYinLengXing{public static void main(String[] args) {System.out.println("请输入行数");Scanner myScanner new Scanner(System.in);int g myScanner.nextInt();int num g%2;//…
暂无图片
编程学习 ·

RocketMQ-什么是死信队列?怎么解决

目录 什么是死信队列 死信队列的特征 死信消息的处理 什么是死信队列 当一条消息初次消费失败&#xff0c;消息队列会自动进行消费重试&#xff1b;达到最大重试次数后&#xff0c;若消费依然失败&#xff0c;则表明消费者在正常情况下无法正确地消费该消息&#xff0c;此时…
暂无图片
编程学习 ·

项目 cg day04

第4章 lua、Canal实现广告缓存 学习目标 Lua介绍 Lua语法 输出、变量定义、数据类型、流程控制(if..)、循环操作、函数、表(数组)、模块OpenResty介绍(理解配置) 封装了Nginx&#xff0c;并且提供了Lua扩展&#xff0c;大大提升了Nginx对并发处理的能&#xff0c;10K-1000K Lu…
暂无图片
编程学习 ·

输出三角形

#include <stdio.h> int main() { int i,j; for(i0;i<5;i) { for(j0;j<i;j) { printf("*"); } printf("\n"); } }
暂无图片
编程学习 ·

stm32的BOOTLOADER学习1

序言 最近计划学习stm32的BOOTLOADER学习,把学习过程记录下来 因为现在网上STM32C8T6还是比较贵的,根据我的需求flash空间小一些也可以,所以我决定使用stm32c6t6.这个芯片的空间是32kb的。 #熟悉芯片内部的空间地址 1、flash ROM&#xff1a; 大小32KB&#xff0c;范围&#xf…
暂无图片
编程学习 ·

通过awk和shell来限制IP多次访问之学不会你打死我

学不会你打死我 今天我们用shell脚本&#xff0c;awk工具来分析日志来判断是否存在扫描器来进行破解网站密码——限制访问次数过多的IP地址&#xff0c;通过Iptables来进行限制。代码在末尾 首先我们要先查看日志的格式&#xff0c;分析出我们需要筛选的内容&#xff0c;日志…
暂无图片
编程学习 ·

Python - 如何像程序员一样思考

在为计算机编写程序之前&#xff0c;您必须学会如何像程序员一样思考。学习像程序员一样思考对任何学生都很有价值。以下步骤可帮助任何人学习编码并了解计算机科学的价值——即使他们不打算成为计算机科学家。 顾名思义&#xff0c;Python经常被想要学习编程的人用作第一语言…
暂无图片
编程学习 ·

蓝桥杯python-数字三角形

问题描述 虽然我前后用了三种做法&#xff0c;但是我发现只有“优化思路_1”可以通过蓝桥杯官网中的测评&#xff0c;但是如果用c/c的话&#xff0c;每个都通得过&#xff0c;足以可见python的效率之低&#xff08;但耐不住人家好用啊&#xff08;哭笑&#xff09;&#xff09…