CTF-Study

发表于 2024-06-18 本文字数： 1.7k 阅读时长 ≈ 2 分钟

这是自己制作的一份粗略描述CTF的大纲，望各位喜欢。CTF是网络安全领域比较重要的一门赛事，不仅考验团队的协作能力，还考验个人的对CTF中某方向的认知深度和广度。从我个人来说，我参加过一次CSICN，这是一次痛苦的比赛哈哈哈，当然也知道了自己的缺陷，自己的广度够，但是深度不够，在做题时能知道该题想考什么，但是无法去更深的攻击，比如当时做web的时候，我第一眼就看出和ssrf有关，但是利用的时候就很困难，这也是自己的不足，希望未来能将自己提升到一个高度并与大家分享经验。

CTF 学习大纲

一、比赛相关

1. CTF 比赛经验分享

分享经验丰富的参赛者的成功和失败案例
讨论常见的挑战和应对策略
复盘和分析之前比赛的题目

2. CTF 团队协作

组建高效团队的方法
团队分工与合作技巧
使用协作工具（如Slack、Trello）

3. CTF 解题策略

解题流程和思路
优先级管理和时间分配
常见解题工具和技巧

4. CTF 题目类型

Web
Pwn
Misc
Crypto
Reverse Engineering (Re)

5. CTF 比赛平台

CTFtime
CTFd
CTF365

二、Re（逆向）方向

1. 软件保护技术

代码混淆
加壳保护

2. 反调试技术

常见反调试技术（如检测调试器）
绕过反调试的方法

3. 符号执行

符号执行工具（如Angr）
使用符号执行解决逆向题目

4. 动态分析

使用调试器（如GDB, OllyDbg, x64dbg）
运行时分析和内存分析

5. 静态分析

代码审查和静态分析工具（如Ghidra, IDA Pro）
反编译和反汇编技术

6. 反编译

IDA Pro
Ghidra

三、Pwn（二进制）方向

1. 竞争条件

竞争条件的识别与利用
竞态漏洞利用技巧

2. 格式化字符串攻击

格式化字符串漏洞原理
利用技巧和防御方法

3. 缓冲区溢出

栈溢出和堆溢出
利用方法和防御措施

4. 内存安全

内存分配和管理
常见的内存安全漏洞及防御方法

5. 程序调试

使用GDB进行调试
IDA调试插件的使用

6. 汇编语言

汇编基础知识
汇编代码分析和编写

四、Cryptography（密码学）方向

1. 公钥基础设施（PKI）

PKI基本概念
数字证书和证书颁发机构（CA）

2. 身份认证协议

常见身份认证协议（如OAuth, SAML）
身份认证的实现和安全性分析

3. 随机数生成

随机数生成算法
随机数生成器的安全性分析

4. 数字签名

数字签名算法（如RSA, DSA）
数字签名的应用和安全性

5. 哈希函数

常见哈希算法（如MD5, SHA-1, SHA-256）
哈希碰撞和破解技术

6. 基础加密算法

对称加密（如AES, DES）
非对称加密（如RSA, ECC）

五、Misc（杂项）方向

1. 逆向工程

基本逆向工程技巧
工具和方法（如binwalk, foremost）

2. 密码破解

字典攻击和暴力破解
破解工具（如John the Ripper, Hashcat）

3. 网络流量分析

抓包和流量分析工具（如Wireshark, tcpdump）
流量解密和重放攻击

4. 数字取证

取证分析工具（如Autopsy, Sleuth Kit）
数据恢复和分析技术

5. 隐写术

隐写技术和工具
隐写信息的提取和检测

6. 编码和解码

常见编码方式（如Base64, URL编码）
编码转换工具和方法

六、Web 方向

1. OWASP TOP 10 漏洞

常见Web漏洞及防御措施
OWASP TOP 10介绍和案例分析

2. Web框架

常用Web框架（如Django, Flask, Spring）
框架的安全配置和使用

3. CSRF（跨站请求伪造）

CSRF攻击原理
防御方法和实践

4. XSS（跨站脚本攻击）

XSS类型（反射型、存储型、DOM型）
防御措施和实践

5. SQL注入

SQL注入攻击原理
防御方法和最佳实践

6. Web服务器

常用Web服务器（如Apache, Nginx）
安全配置和管理

7. HTML/CSS/JavaScript

前端基础知识
常见安全问题和防御措施

七、基础知识

1. 编程基础

Python
C/C++
Java

2. 数据结构和算法

常用数据结构（如数组、链表、树）
基本算法（如排序、搜索）

3. Linux系统

Linux基础命令
系统管理和安全配置

4. 计算机网络

TCP/IP协议
网络安全和常见攻击