下周公司的 CTF 第二届比赛就要开始了。还记得第一次参加基本在打酱油,writeup 也是上周才看完。赛前培训介绍了几个常用的工具,记录下。工具什么的最爱折腾了!
1. 赛前准备
- java环境: https://www.java.com/zh_CN/
- python环境: https://www.python.org/
- 本地web环境,推荐windows下面可以使用phpstudy,但是需要注意放在虚拟机里面,以防电脑被黑
- Burpsuite: 网盘已有
- 浏览器代理插件: 网盘已有
- SQLMAP: https://github.com/sqlmapproject/sqlmap
- 90sec Firefox: 网盘已有
- nmap: https://nmap.org/download.html
- ceye平台注册账号密码: http://ceye.io/
- 拥有自己的vps服务器(外网,最好Linux)
- 文件泄露利用工具包: https://github.com/kost/dvcs-ripper
2. 比赛模式
CTF 全程 Capture The Flag, 解题模式是 Jeopardy 主要包括一下一个方面:
Web 网络攻防
RE 逆向工程
Pwn 二进制漏洞利用
Crypto 密码攻击
Mobile 移动安全
Misc 安全杂项
培训的ppt上有个安全杂项具体分类的 MindNode ,可惜看不清楚,搜了一下,发现一个博客挺好的。https://ares-x.com/ 这个风格的博客看的比较舒服。
Misc 常见编码的转换工具 http://tool.ph0en1x.com/hashtool/tools.html#conv/
通过搜索该工具,又关注的一个网站,英文打字字体,非常简洁,很好。
如果喜欢参加 CTF 比赛,可以关注 https://ctftime.org/ 里面也有 writeup。
关于图片、mp3、视频隐写的可以看这个帖子 https://xz.aliyun.com/t/1930
编码转换的工具JPK JPocketKnife,已下载,结合实战研究下怎么使用。
推荐书籍 《黑客大追踪》
010 Editor的使用,分析文件16进制,强大的模板功能。还有类似的工具如下
010Editor:http://www.sweetscape.com/010editor/
pycParser:https://github.com/eliben/pycparser
py010parser:https://github.com/d0c-s4vage/py010parser
peach:http://peachfuzzer.com/
binwalk的使用,解密
https://www.youtube.com/watch?v=kVeAXSS-H8U
CRC32爆破的例子 https://blog.csdn.net/qq_23100787/article/details/79582498
这个博客的例子也不错 http://skysec.top/2017/06/19/CRC%E7%88%86%E7%A0%B4%E6%80%BB%E7%BB%93/
ctf-wiki这个网站不错。