ctf+新手指南怎么过

看一眼六零二四的签到吧，签到题最简单，那么 下载附件，下载出来有一个麦泡，有一个麦泡的说明， 我们打开地图，各个路口的编号，来吧，遗落在其中了，来吧，路口的编号是连续的。没看明白什么意思，赶紧打开麦吧， 外婆有点大，所以说这个用编辑工具打开 看一眼， 一组，一组数字，两组，三组，再加一个字母串，这什么意思？没太懂。所以说我们搜索看看能不能直接搜索到 flag。 没有，最大的是 f l a， 那么我们搜索 f l a， 最多是有十一个， 这些都是大写的，而且后面不是 fled， 所以说直接取消。 这个比较像，所以说我们先把它复制粘贴出来，先留下， 那么十一个考完了， 就这一个比较像，所以说我们试试， 他说既然编号是连续的，我们想有没有可能这个编号在后面， 他这个编号是唯一的，那么你就看五幺六三五这个编号， 如果连续的话，他会出在第三位，或者出在第一位，就是你看这两种形式，这都是五位的，所以说如果连续的话，有可能这一位出在下一行的第一位。嗯，试一下，这里搜索了一共十个，结果 好一圈了，但是没有 发现后面是 g， 或者他出现在第一个位就是 fla， 后面读不下来了，那我们最开始的猜测是错的，那我们试试，那么直接用 fl， fl 有六百多个结果，那我们试试 ag 括号，把后面的拼出来，这里面六个结果，那六个结果看看有没有比较像的， 那这个就比较像 ag 括号，然后有一个 有一个英文单词 y， 我们把它复制粘贴出来， 还有没有其他的？ 这个也比较香，这个可以是 the 哥都把它粘出来， 那么没有像的了。我们根据这两组， 他看看这个是不是唯一的，如果这个呢？是唯一的，他这是唯一的，那么 排除了第三组数字，那么从第一组数字跟第二组数字来看， 我们看看七八二幺零，他有没有可能出现在其他组的第二个，第二个 一共有二十二个结果， 那么这个有可能，因为他尾号也是 fl 结尾的， 那么我们在后面依次类推，基本上一轮下来了也没有任何发现。依次类推，那就是 他补到了下面昂的第一位，那么八幺零六八就会补，哎，好巧也补到后面的八幺零六八的第一位， 那么这个有可能就不是了， 以此类推，我们最后看一眼结果， 那么我们试到最后把它拼出来，就是九四优 flag， 这个把它提交上去，那这道题就做完了，这个就是咱们要得的 flag， 我们做题就是他拨到第一位，那么第二位拨到下一行的第一位，那么 看清楚规律了吧？这个其实就是这道题的规律， 看看大家还有没有不理解的。

咱们看一下外部第十四题，第十四题跟之前那道题还是更难一些了，为什么呢？因为他限制了一个括号， 因为咱们正常的指令咱们都会用做括号，比如说 sissim 括号，对吧？再加单引号，那么咱们下面只能用这个，因为想分号，咱们可以用直接结束，但是如果没有括号的话，咱们 只能用这种方法，但是还有其他方法， 这个跟普洱你的技师差不多 多的。然后一定要返单银行，因为咱们需要执行这个指令，咱们帮他复制 粘贴，既然是 pos 的，那咱们可以直接 pos 的，咱们需要的这里那就是 cad， 看我飞一个贴纸皮， 对吧？咱们看一下 c 等于 post 一 执行这个语句，那么执行这个指令 pose 的一一是什么呢？一就是 cat 坑 p 了点 php， 那么来吧，就出来了。当然还有一种方法，还有一种方法是之前咱们用过的，就比如说 c 等于 开的，他应该是限制了开的， 他既然限制了太太，咱们用什么呢？ ac 对吧？那么咱们正常 考飞一个点 php 对吧？那既然又限制了考飞一个，又限制了 php， 还限制了点点，咱们这边用啊， 看我第一个，咱们可以用单引号去绕过，最后用问号加代号结束，这样其实应该也是可以的，咱们看一下， 看一下啊， 那么这来个该出来了， 这两种方法，看看大家更喜欢哪一种？这道题就做完了。

大家看一下这道题啊，这道题是我一个 朋友朋友给我发过来的。呃，这是一个成绩管理系统，用户名密码登录，对吧？ 那我们随便剪入爱的面和一提交一下， 在哪里呢？提交发现有返回的数据， 那我们根据这个下手， 想到用搜空麦， 刚才我用的是哪啊？嗯，这里 从头给大家跑一下吧。 这个是这里 super map， 通过这 url url 去注入。那为什么是 padme 跟 pass 等于一呢？是因为我抓了个包 在这个包里边，这里有写内蒙 等一下的面，然后看四等于一，后边是点击登录，然后呢？根据此入手去跑。 哎， 前去看他的数据库， current database ctf， 那我知道他的数据扣名了，那我们把数据扣给他，加上 杠 d tfboys ctf， 然后爆他的 table， 结果发现 ctf， flag 和 users， 那我们想要 flag， 所以说他的 table 肯定是 flag 里边，然后盖儿大写 t flag 财宝，他的 这是什么列名？ 他的列名也找到了，也是 flag， 那我们杠 c flag， 最后报他的数 去， 结果 flag 就出来了。这道题是一个非常典型的 收扣麦收扣注入的题。呃，给大家简单的了解一下。

今天我们再来看一下攻防世界入门的最后一道题，最后一道题功夫再高也怕菜刀， 嗯，菜刀那就是想到有可能是这个文件上传，通过这个一句话，那么是不是呢？我们看一眼菜果决定啊，用菜刀和菜鸡决一死战 啊。我还是进认为是这个，然后这个软件或者一键都可以，那么附件下载下来以后是一个这个流量，流量包 给他放进，放进里面来，刚才我做了一下，重来吧， 放进里面来。我当然这种做这种题的方法多的是啊，我只是按我自己的方法去跟大家呃，说一下这道题我是怎么做的。首先 咱们就直接选择这个 flag 的字母串，然后我一般就是看 httpl 查找带 flag 的，那么既然是人间上传，那么咱们可以 看一下 pose 的，一种是 pose 的，一种是 get， 所以说咱们一般我一般会看 pose 的，那么这些全都是通过 pose 的 方式上传的，那么我们看到这有一个零五三三，这个包的程度和其他的来比好像有一些不一样，对吧？那么那这里面到底是含着什么东西呢？那我就右键 追踪一下，也是体力疲劳。 那么发现他 post 的上传这些代码里面 fff 第八， fnff 第八， ff 第八是什么呢？ 咱们之前说过他是点勾 pg 的特征值，对吧？ ffd 八 结束， fff 第九，那么我下面咱们把 ff 第八全选粘贴进一个这个 nhex 或者正粘贴进零零 id 的，看一下他的图片到底是什么。 那么好，我给他粘贴进零零 id 腿以后， 这里啊选择石榴定制粘贴进来以后发现 ffd 八 fd 九并存为点，勾笔记， 打开这张图片，发现提示 vcs password， 当时我看这个有没有可能是 flag 括弧里面就是他呢？结果不对，那么他说 这是一个，这是密码，那么什么密码呢？不知道，那么我们就怀疑这里面有没有可能还掺杂着别的东西， 我们可以通过这个 max 去找啊，不是 whatsapp 去找，当然还有一种办法就是甭猜，怎么猜呢？把它直接放进 mos 的，或者冰卧，或者呢？把它还是放进零一零艾迪特， 咱不确定里面有没有东西啊，那既然说是密码密码，那只有压缩包是需要密码的，对吧？那么咱们直接查找 五零四 b 零三零四，对吧，他是点 zf 压缩包的这个 特征值五零四 b 零三就可以，然后发现有，这里边还真有五零四 b 零三零四，那么后面呢，我们看看有没有五零四 d 零一零二啊，发现 u 也有红零四零一零二，这样咱们确定里面确实是有一个压缩包的，对吧？在这呢， 那么里面发含的是什么呢？是含了一个 flag， 点 txt 这个文件，咱们最简单办法，把它放进冰 walk 好 fmos 吧。放进 fmos 啊，在哪呢？这呢？ 直接剪打开，发现真有一个这款压缩包，等出来 发现来个 tst 是需要密码的，这边也有提示，非常好，你需要密码，那么密码咱们尝试一下有没有可能是他， 那么来个就出来了这道题方法，这得到这个方法分析数分析这个流量包的方法不止这么一个。好吧，那咱们这道题就先这样。

我们今天再看一下密斯克入门的第六题， 我只是说一说咱们的思路，坚持六十秒不见，下载 是一个 jr， 打开发现是个游戏，像我手比较笨，所以说我应该是坚持不到六十秒的， 如果是这样，大家会怎么办呢？当然反变异也可以，但是咱们有一个更稍微简单，但是是一些复杂一些的方法，是怎么样呢？先给他放进零零二点零看， 像 jr 这种，你们五零四比零三零四对吧？那我们就直接可以把它改成 z， 打开看一眼，有图片前还有一个这个，我们在这个幕幕下面 找到他，用几十盆打开 在里面翻找，很快你就发发现了 flag， 当然 第一次做这个题的朋友可以一点点的去找，但是也不难，就是稍微费一些时间 看到他贝斯六十四对不对？那我们直接提交肯定是有问题的，我们再给他贝斯六十四 pest， 结果发现真正的 flag 是这个，把它提交上去，这道题就做完了。

新手小白初学 ctf 该从哪方面入门比较好呢？今天我就来给大家讲讲个人心得。想入门 ctf， 首先你就得明确一个方向，它包含六大类目，其中外的方向会相对容易上手一些，而且提亮不少。 书籍的话，比较推荐这两本，非常适合新手小白进行系统性的学习。当然学习过后当然免不了实战，这里我推荐攻防世界，相对于其他传统 ctf 平台要好一些，题目会定时更新，划分了新手区和高手区， 所有题型都有初级模式和高级模式，是一个很不错的在线实训平台。大家快点行动起来吧，我们下期再见！

杰哥，零基础想打 ctf 能直接学吗？呃，是这样的，因为 ctf 呢，有四个四五个方向啊，这里面呢？ 呃，新手尤其是零基础呢，我建议呢，先把 web 安全的内容学好，然后选择去打西天吴 web 方向，因为他有碰二进制方向，还有砸像之类的方向啊。那么这里面呢， 打外本方向的 ctf 题会比较好打一点，尤其对于新手来讲，这是我给你们建议。另外的话呢，就是我们的课程里面也会涉及到有 ctf 的这个内容啊，所以的话，如果说你有在我们的班级里面呢， 你也可以把这个内容好好学好，也能去打西天。

工方世界密斯科新手区的十二道题我们已经做完了，那么咱们先看一下。接着看一下高手进阶区。 这些一分值或者两分值的题也是偏向于基础。首先看一下第一道题，下载下来是一张图片，打开 像 flag， 明显就是左右做了一个镜像，那么给他翻过来，基本上 flag 就出来了。这道题没什么可说的。那么再看一下第二道题， 不见题目写的是图片里 有一些东西是一个压缩包， 没有后缀，所以说很美的。先放进拧拧看一下。 直接 搜索一下关键字，看看有没有来回的信息。 我们这里面有一个 flag dntxt 的文件。再往 驾照。 呃，当找到幺八三四零零 h 的时候，来个就在这， 大家可以提交一下试试。应该就是这个他写的 flag 在图片里面，那果然就是在图片里面。然后又一个。 好，这一两道题应该就做完了，大家看一下这个思路。

杰哥， ctf 比赛类型有很多，怎么入门呢？我建议这位同学是这样的， ctf 呢，有 web 方向，有 max 大象，有碰二进四方向，逆向方向，是吧？很多我建议所有的新手呢，打 ctf 赛事首先入门选择 ctf 外本方向。外本方向的题目题库啊，资源是最多的，也是最适合我们新手上上手的。所以关于你这个问题，你要入门 ctf 呢？选择 ctf 外本方向去打 配套的技术，是万把安全技术，能理解现在吗？

哎呀，最近比较忙，不好意思啊各位，我这个拖了好几天才给大家更新。看一眼这道题。二零一七。这应该是密斯科德。第几道题，要我忙 描述和一个附件。附件下载下来是一个日历表，二零一七年的日历表。 这里边没有什么信息，放进零零以后也没有什么可用的。然后主要就是这个描述，大家看一下啊。 这种题还是很常见的。看每一个描述中间有一个杠，那么咱们是吧把这些杠 全都给他提解出来，看一看跟这个日历表有什么关系。 呦喂， 您仔细发现啊，一二三四五 六七八九十十一十二，正好十二行。再看里边的数，零一零八十五，二十二二十九。我们看这个日历表 第一行一八十五，二十二十九。这一竖列对吧？ 再一看十五十六十七十五十六十七。 那么有没有可能这上面所展示的这些数字，在日历表上连一起会有一个特殊的什么图案？图案呢？结果我们发现 他就是来个 h i t b 括弧 ctf 反括弧弯。那么这道题就做完了。这道题是一个很常见的一个基础题，内斯科的。呃，所以大家脑洞一下，应该是可以做出来。 那我们继续趁热打铁。再看一下 simple 川死粉这道题，说文件里 有 flag， 找到他，那么附件下载下来是一个沃莎，是一个流浪包。那么把它放进去，我们看啊，一脸懵对吧？按我们正常来讲， 开着 tct 就发现里面什么都没有。如果找 tcp 呢，就比较费劲。那么换一种方法，就根据他的体检。 他题目意思写的是什么呢？他题目描述啊。题目描述写的是什么呢？文件里面有 flag， 找到他让我们把它放进零一零里面，看一看有没有 flag， 发现这文件报错了， 有一个包错。那我们先不管他，正常来讲先找一下本本 big 有一个，但是一点关系都没有怎么办呢？那就看看石榴金质有没有一些压缩包什么的。五零四 b 不对，五零四零三 没有对吧。那么还一种就是使用宾沃或者放帽子的，可以来拆一下， 最好先宾沃克看一下，看一下里面有什么内容，然后能拆拆或者盲拆，也可以直接复模。 结果发现里面有一个 pdf pf， 打开发现呦，怎么是黑的呀，对吧。那最常最常见的办法，直接给他看佛头少不理吧。把它放进佛头少不里面看看有没有什么东西， 他竟然是黑的吗？ 结果呦，刚才显示还真有一样东西。那这样东西是什么呢？ 放大原来是咱们的。来个，那这道题就做完了，还是一点点脑洞。

我们来看密斯克入门的第十一题， 这个提示基本上也没什么用，附件打开是 a， 是一堆类似六十四，当时也给我看的比较懵，然后我是把它全卷下来 粘贴进来解码，发现一堆英文有一个关键字就是他 turkey must 写数，对吧？不懂英文的不要紧，记住这个词就可以饮写数，水门艺术。那么 我们推断有没有可能是咱们之前见过的贝斯六十四饮血，因为这种形式特别熟悉。贝斯六十四饮血的原理大家可以百度一下， 因为他每一行被子六十四，他饮血的数据会非常少，如果他想饮血， 嗯，一个 flag 括弧，一堆数，一堆字母，再加一个括号结束，他一到两个肯定是达不到的，所以说他会用一堆 贝斯六十四去银写一句话，那么咱们网上也可以找到关于贝斯六十四银写的解码的， 我的改名到一点二 txt 给大家看一下解码的拍摄脚本， 他家网上这些都可以找到，那么我们直接通过搅拌， 那么发现 贝四零四点五这句话 就是 plag 贝斯六十四银写的原理，大家往上看一下吧， 这里就不多说了，反正看到这种形式，基本上可以初步判断他就是菲斯刘斯的音线脚本一定要保留好。

今天我们再做一下三六 d 杯，暗中观察，下载一个附件 dump， 然后看见没有后缀，我们直接把它拖进泥泞摆地摊。我们看到这个文件头， 这是这个用沃尔萨卡这个流量分析，那么不知道，不知道的情况下，我们可以百度 直接搜索这个文件头，什么意思？结果这里就会显示就是 pcp， 也就是这个流浪分期的这个流浪。 那么如果没有网也不要紧，只要是我们这个卡里里面 装有这个 worshake， 直接放进去他就能识别到，我们为什么要放到卡里里面呢？因为是这里面发现 搜索到了五零四 b 零三零四，那么这是什么？就是一个 z 的压缩包，然后我们把它放进冰 walk 拆分 帝王， 那么拆分出来， 打开二幺六 af 这个压缩包，压缩包里面有一个 flag 点 txt， 但是他是加了密的， 怎么办呢？密码肯定就在他这个流量包里，那么我们把它，我们就在 windows 家吧，把它放进 war shark， 正常来，正常来讲，我的习惯是先看 扮演 http， 那么这里有一个 pose 的， 我们再看一下他的 hdp 流， 大家看这里 他有个网址，而且这里面我看从哪开始，从这里面 有可能这个就是一个密码， 然后前面在哪里肯定有显示用户名， 不确定对不对？那么我们直接把这个网址复制 粘贴， 是一个登录的窗口，那么你试一下一二三，抓一个包，哎，哪去了？抓一个包， 你们看一下我打的一二三， 这样我把这一块给他复制粘贴进笔记本里边 看一下，啊， 这个值就是我输入的密码，那么他的密码我刚才输的一二三，这个位置对应 波莎和这个包领，看一下是不是一样的 t e q t b z 那么我们猜测这个就是他登录窗口的密码，你把它复制， 然后先放通喷，哪不正确登录， 那么登录进来了，既然这个密码可以登录进来，我们就猜测这个密码 有没有可能是这款压缩包的密码， 我们试一下粘贴，但居然成功了，没有提示错误，然后打开这个，那估计就是 flag 了。 把他提交一下，那么这道题都做完了，这道题需要一些脑洞，而且需要对这个磨砂有基本的一些理解就够了。

大家好，我是抖抖，现在的程序员真的很幸福，天天写 bug， 写漏洞也能拿高薪，而我的工作就是让你少写漏洞。今天要演示的主角就是缓冲区溢出漏洞的利用缓冲区溢出是一种经常被程序员忽略，但又是比较常见的软件漏洞，因为我们这里有一段 c 语言的程序， 我们先看一下这个程序非常简单，在卖函数里面，我们会调印普洱的函数，而我们的普洱的函数的话，实际上就是接收一个输入，然后把应付输入的内容给输出出来，对吧？ 然后我们这里还有一个黑科密的函数，但是这个函数没有任何人来调应他，也就是说他不会被执行，对吧？但是我们今天要做的就是利用缓存区溢出的漏洞，通过输入能够让他来执行黑科密这个函数，那如何来做到呢？那要理解如何来做到，我们先要简单的来 认识一下我们的程序在执行的时候，内存布局是怎么样子的。从这张图上我们能够大致的看到最上面的区域是我们卖函数就是入口函数的执行战争，然后下面是我们胚的函数的执行战争。 当从卖函数来调应我们 plun 的函数的时候，我们会依次把相应的数据压入我们的执行站，这里面包括我们需要压入我们函数的仓数，当然我们的 plun 的函数是没有参数的，接着是我们函数的返回地址，也就是说执行完我们 plun 的函数以后，我得知道下一条指令是执行哪一行代码， 那么接着会把我们当前的 epp， 那么我们称之为 buff， 那么这个 buff 的话，实际上我们是可以能够知道他的大小的，一般他的大小是大于我们本地变量的这个长度的。那如果说我们通过利用我们 buff 的缓冲去溢出，让他来覆盖我们的战机子以及返回地址，特别是这个返回地址 vip， 如果我们把这个返回地址 改成我们黑科密这个函数的入口地址，那么也就意味着当我们执行完 plun 函数以后，就会让他来执行我们黑科密这个函数，所以我们在这个地方会通过 bufo flow 缓冲去溢出来覆盖掉我们的 vip， 把 vip 里面的地址改成我们黑科密这个函数的入口地址。那如何来做到呢？我们先来执行一下这个程序，看看他会让我们输入一个内容来进行缓存区的溢出，那我们先随便输入一个抖抖吧，啊，然后他输出来抖抖，这个 并没有发生异处，对吧？如果我们输入一个比较大的字符，比如，哎，对吧？ 这这个时候会发现他下面已经提示说，啊，程序发生异常了，对吧？这个时候实际上已经出现了缓程序移出，但是这个时候的溢出并没有达到我们的这个效果，来执行我们黑科密的这个代码，所以我们先清除一下屏幕，那我们通过 gdp 的形式，我们先来调试一下我们的这个 buff， 我们先看一下我们喷的函数的反会边带吗？我们要确定我们缓存区的大小， ok， 在这个地方我们来看一下我们缓存区的大小啊，缓存区的大小啊，这里 我们可以看到这个地方会通过 evp 减零 xec 来作为我们当前所有输入内容，也说接受应付输入的内容的一个存放的一个 地址，那么他的大小是零 x e c， 零 x e c 的话，那么就是一十六，加上一十二啊，等于二十八，那么这里面就是二十八个字节的缓存区大小，那么缓存区紧挨着的就是我们的这个 ebp 的地址，然后 再往上走紧挨着的就是我们的 vip 地址，我们要实现的就是通过缓冲区溢出来覆盖掉我们 vip 的地址，把 vip 的地址本身是返回这个麦函数里面的下一条这个指令的，我们要把它改成我们黑科密这个函数的入口地址，所以我们先来确定一下我们黑科密这个函数的入口地址。 啊，要确定黑科密的入口函数地址，我们通过银货 fux 我们来看到我们黑科密的入口函数地址是这个零 x 零八零四九幺九二，对吧？ ok， 那我们退出一下，这个时候我们就可以构建一个制服串，那么这个构建制服串我们可以通过拍摄来咨询一下， 我们需要来普运特一个随便一个字符，我们这个字符需要呃二十八加四，也就是三十二，然后再加上一个我们精心构建的一个字符串，这个字符串就是我们 vip 的这个地址里面的值，对吧？那这个地址我们要构建成黑屏这个函数的入口地址， 那就是这个地址，因为我们这是小端的，所以我们需要反向来啊，那么他就是斜杠 x 九二，斜杠 x 九幺，斜杠 x 零四，斜杠 x 零八， ok， 然后我们现在把它输出一下啊，这个地方我们把它改一下，这个地方双引号，我们把它改单一下， ok， 那这个制服串就已经构建出来了，我们总共构建了三十二加四，对吧？也就三十六个字结，那么其中前面的三十二个字结都是没有意义的，无所谓。然后后面的构建的这几个四个字结就是我们 这个 vip 地址，也就是黑科密这个函数的入口地址，那么通过缓存去溢出，那么后面的这个地址刚好就会覆盖掉我们 vip 这个计算器里面所保存的这个返回值地址。那么在执行完不用的函数以后，实际上他就会去执行我们的这个什么黑科密函数了， 所以我们现在来把它这个这个值作为我们这个，作为我们 buff 这个执行程序的这个输入，我们可以看到他执行的输出啊，输出来抖抖。我们再来看一下我们的这个 buff 点 c， 那么在这个黑科密函数里面，我们确实是输出了这个抖抖，对吧？并且我们执行了系统函数，户外卖那货卖爱的话，也需要打印出当前登录的系统用户，我们当前登录的是抖抖，所以他把抖抖给打印出来了， 将我们目前的缓存去溢出这个代码，他们没有任何的恶意，对吧？但实际上在真实的这个利用过程中，我们会利用这个泻药来反弹来执行我们特别的泻药代码，所以其实他的危害是非常高的，但是却不被程序员所证实， ok， 那我们今天的分享就到这里了，拜拜。