乌云沙龙第三期

内容包括:
1.CTF Binary小技巧
分享者:科总【light4freedom成员】
摘要:本文分享了许多CTF夺冠要点,细节决定成败,先是从工具的准备,当然少不了经典的PEiD、 OllyDbg、Metasploit、C32Asm等等,还介绍了部分工具的隐藏功能噢!也给了一些很棒的建议,如事先准备好虚拟机镜像,避免程序bug或者兼容性的问题影响了物理机蓝屏或者关机。还有各种奇葩问题的解法,如何在比赛中防止其他搅屎棍的捣乱好好的保护自己。科总的总结让很多刚刚接触CTF或者有兴趣的小伙伴避免了不少坑。让科总带你走进ctf的binary世界。

2.赛棍的自我修养+搅屎的乐趣
分享者:redrain【light4freedom成员】
摘要:知己知彼百战不殆,对于web渗透感兴趣的小伙伴走过路过千万别错过噢。感谢redrain大牛分享的渗透流程。先简单的信息收集,http报文,域名whois一些敏感文件路径等等,或者子域名,同服C段来找到入口,或者可以借助扫描器,如w3af、nmap之类神器,找到漏洞后直捣黄龙,祭出杀器sqlmap,havij。一洞不行再换一洞,也可以尝试从xss下手配合其他攻击手法来getshell。
也可以试试找其他漏洞,比如常见的命令执行,文件包含等等。实在不行,就用最简单粗暴的方法,通过字典来爆破帐号密码。最后就需要提升权限,就需要之前踩点的信息了,通过对数据库版本,系统版本,网站应用信息的了解来利用相应的EXP提权。忘记是哪位智者说过,攻击是最好的防守,一名真正的黑客是不会墨守陈规的,当然redrain也不会例外,除了完成CTF的比赛题目,偶尔也会捣捣乱搞点小破坏,不愧为专业赛(搅屎)棍.

3.常规的CTF题目解析
分享者:teacher g【天枢战队成员】
摘要:颇有回到学生时代老师讲试卷分析,考题讲解的味道啊。从入门到高级的题目讲解,teacher g都有独到的见解。答题人与出题人的较量···文章和线上和线下的讲解。先是工具的准备,规划,如团队工作,和体力的补充。入门级的题目相信大家在线上都做过不少,都是考基本功是否扎
实。中级的题目就是在入门的基础上稍微添加了难度,并且加了不少坑,题目远远没有你看上去那么简单。比如在在上传图片竟然含有SQL注入?http://127.0.0.1:12345/img.php?file=1.jpg中竟然不是文件包含漏洞?这不科学。
除了考验答题人的耐心以外,还要要求细心。高级题目简直就是变态的存在啊···
当然其中除了一些其他题目还有一些送分题。CTF不是一场考试,而是一场讲究团队合作,耐心与细心的考验,合理的规划。你,不是一个人在战斗!

下载地址

评论 (1)
  1. 沙发
    风流鬼 2015-01-28 03:46

    仔细拜读,表示支持!

    甲午年(马)腊月初九 2015-1-28