一、CTF类型
1、web
sql注入、XSS、文件上传、包含漏洞、XXE、SSRF、命令执行、代码审计等
2、破解题(Pwn)
攻击远程服务器的服务
提供服务程序的二进制文件
分析漏洞并写出exp
栈溢出、堆溢出
绕过保护机制
3、逆向(Reverse)
破解程序的算法来得到程序中的flag
对抗反调试、代码混淆
4、移动安全(Mobile)
安卓和IOS系统的app破解
5、杂项(Misc)
取证、编码解码、加密解密、隐写、图片处理、压缩包、编程等
二、学习攻略
1、计算机基础
操作系统、网络技术、编程
2、web应用
HTTP协议、web开发框架、web安全测试
3、数据库
数据库基本操作
SQL语句
数据库优化
4、刷题
三、隐写
将信息隐藏在其他载体中,不让计划外的接受者获取到信息,常见的载体:图片、音频、视频、压缩包
1、图片隐写
细微的颜色差别,用到的工具:stegsolve
GIF图多帧隐藏,隐藏在动态图中,一闪而过,肉眼难以看到,用到的工具:stegsolve、Namo GIF、Phtoshop
Exif信息隐藏,在线工具:https:///
图片修复,修改头信息
2、音频隐写
信息隐藏在声音里(逆序)
信息隐藏在数据里(分析音频数据)
用到的工具:MP3stego、Auditon、Matlab
3、视频隐写
隐藏在视频的某个或多个帧里
用到的工具:Premiere、会声会影
4、文件隐写
文件拼接(copy /b 1.jpg+1.zip 2.jpg)
用到的工具:binwalk、dd、winhex
四、密码学编码
1、对称加密算法,加解密的密钥是一样的。例如DES、3DES、AES等,可用在线工具解密
2、非对称加密算法,用公钥加密,用私钥解密,例如RSA等
3、培根密码:用a和b组成的密码
4、其他常见加密:
五、编码和摘要
1、加密:加密传输信息,保证信息的安全性,通过密钥和密文可以还原原始信息
2、编码:将数据转化成某种固定的格式的编码信息,方便不同系统间的传输,通过解码编码信息可以得到原始信息,常见的编码:ASCII,Base64,URL编码,HTML编码、Unicode、UTF-8,莫斯码、二维码
3、散列:也叫摘要或哈希,验证信息的完整性,不能通过哈希值还原原始信息