点击此处获得更好的阅读体验
正文
在CTF中主要包含以下5个大类的题目,有些比赛会根据自己的侧重点单独添加某个分类,例如移动设备(Mobile)
, 电子取证(Forensics)
等,近年来也会出来混合类型的题目,例如在Web中存在一个二进制程序,需要选手先利用Web的漏洞获取到二进制程序,之后通过逆向或是Pwn等方式获得最终flag
Web
Web类题目大部分情况下和网、Web、HTTP等相关技能有关。主要考察选手对于Web攻防的一些知识技巧。诸如SQL注入
、XSS
、代码执行
、代码审计
等等都是很常见的考点。一般情况下Web题目只会给出一个能够访问的URL。部分题目会给出附件
Pwn
Pwn类题目重点考察选手对于二进制漏洞的挖掘和利用
能力,其考点也通常在堆栈溢出
、格式化漏洞
、UAF
、Double Free
等常见二进制漏洞上。选手需要根据题目中给出的二进制可执行文件进行逆向分析,找出其中的漏洞并进行利用,编写对应的漏洞攻击脚本(Exploit
),进而对主办方给出的远程服务器进行攻击并获取flag通常来说Pwn类题目给出的远程服务器信息为nc IP_ADDRESS PORT
,例如nc 1.2.3.4 4567
这种形式,表示在1.2.3.4
这个IP的4567
端口上运行了该题目
Reverse
Re类题目考察选手逆向工程
能力。题目会给出一个可执行二进制文件,有些时候也可能是Android的APK安装包。选手需要逆向给出的程序,分析其程序工作原理。最终根据程序行为等获得flag
Crypto
Crypto类题目考察选手对密码学
相关知识的了解程度,诸如RSA
、AES
、DES
等都是密码学题目的常客。有些时候也会给出一个加密脚本和密文,根据加密流程逆推出明文。
Misc
Misc意为杂项,即不包含在以上分类的题目都会放到这个分类。题目会给出一个附件。选手下载该附件进行分析,最终得出flag
常见的题型有图片隐写、视频隐写、文档隐写、流量分析、协议分析、游戏、IoT相关等等。五花八门,种类繁多。
FLAG
1 | ctfhub{c8fde6edc982a5a29d6ae461f1373fe6} |