如何在最短时间内提升打ctf（web)的水平？

刚刚刷完2遍 bugku 的 web 题，前来答题。

每个人对刷题理解是不同，有的人是看了writeup就等于刷了，有的人是收藏了writeup就等于刷了，有的人是跟着writeup做了一遍就等于刷了，还有的人是独立思考做了一遍就等于刷了。

电子竞技，菜就多练。短时间内提升打ctf（web)的水平，最好的方法就是刷题3遍。第一遍直接看别人的writeup，第二遍自己独立思考做一遍，第三遍跟别人讲述自己的解题思路。

难度系数1：刷题路线

1. ailx10：Bugku-CTF-滑稽（查看源代码）
2. ailx10：Bugku-CTF-计算器（绕过前端限制）
3. ailx10：Bugku-CTF-alert（查看源代码，Unicode编码）
4. ailx10：Bugku-CTF-你必须让他停下（查看前端代码）
5. ailx10：Bugku-CTF-头等舱（Burp）
6. ailx10：Bugku-CTF-GET（Burp）
7. ailx10：Bugku-CTF-POST（Burp）
8. ailx10：Bugku-CTF-变量1（PHP全局变量）
9. ailx10：Bugku-CTF-本地管理员（Burp）
10. ailx10：Bugku-CTF-源代码（URL解码）
11. ailx10：Bugku-CTF-程序员本地网站（XFF）
12. ailx10：Bugku-CTF-你从哪里来（Referer）

难度系数2：刷题路线

1. ailx10：Bugku-CTF-source（目录扫描，git操作）
2. ailx10：Bugku-CTF-矛盾（PHP==）
3. ailx10：Bugku-CTF-备份是个好习惯（目录遍历，MD5==）
4. ailx10：Bugku-CTF-game1（Burp，编码混淆）
5. ailx10：Bugku-CTF-网站被黑（目录遍历，Burp暴力破解）
6. ailx10：Bugku-CTF-bp（Burp，正则）
7. ailx10：Bugku-CTF-好像需要密码（Burp）
8. ailx10：Bugku-CTF-shell（assert命令执行，Burp）
9. ailx10：Bugku-CTF-eval（代码执行）
10. ailx10：Bugku-CTF-需要管理员（Burp暴力破解）
11. ailx10：Bugku-CTF-前女友（strcmp，MD5）

难度系数3：刷题路线

1. ailx10：Bugku-CTF-速度要快（编程）
2. ailx10：Bugku-CTF-file_get_contents（data伪协议）
3. ailx10：Bugku-CTF-成绩查询（SQL注入）
4. ailx10：Bugku-CTF-no select（SQL注入）
5. ailx10：Bugku-CTF-login1（SQL约束攻击）
6. ailx10：Bugku-CTF-login2WEB（UNION注入，命令执行）
7. ailx10：Bugku-CTF-文件包含（PHP伪协议）
8. ailx10：Bugku-CTF-cookies（文件包含，代码审计）
9. ailx10：Bugku-CTF-never_give_up（编解码，data伪协议）
10. ailx10：Bugku-CTF-No one knows regex better than me（正则表达式）
11. ailx10：Bugku-CTF-字符？正则？（正则表达式）
12. ailx10：Bugku-CTF-Flask_FileUpload（Python图片马）
13. ailx10：Bugku-CTF-文件上传（PHP图片马）
14. ailx10：Bugku-CTF-点login咋没反应（PHP序列化）
15. ailx10：Bugku-CTF-Simple_SSTI_1（Flask 模板注入）
16. ailx10：Bugku-CTF-聪明的php（PHP代码执行，passthru）

难度系数4：刷题路线

1. ailx10：Bugku-CTF-留言板（存储型XSS）
2. ailx10：Bugku-CTF-留言板1（存储型XSS）
3. ailx10：Bugku-CTF-文件包含2（文件包含，图片马）
4. ailx10：Bugku-CTF-xxx二手交易市场（Base64编码的PHP图片马）
5. ailx10：Bugku-CTF-getshell（蚁剑，绕过disable_functions）
6. ailx10：Bugku-CTF-Simple_SSTI_2（Flask 模版注入，代码执行）
7. ailx10：Bugku-CTF-decrypt（解密，逆向，取模）
8. ailx10：Bugku-CTF-社工-初步收集（WireShark，密码，Burp）
9. ailx10：Bugku-CTF-Apache Log4j2 RCE（Log4j）
10. ailx10：Bugku-CTF-ez_java_serialize（Java反序列化，ysoserial）

难度系数5：刷题路线

1. ailx10：Bugku-CTF-sql注入（布尔盲注）
2. ailx10：Bugku-CTF-都过滤了（SQL盲注）
3. ailx10：Bugku-CTF-ezbypass（特殊字符的计算，命令执行）
4. ailx10：Bugku-CTF-兔年大吉2（PHP反序列化）
5. ailx10：Bugku-CTF-unserialize-Noteasy（create_function 匿名函数）
6. ailx10：Bugku-CTF-闪电十六鞭（eval执行代码，PHP短标签）
7. ailx10：Bugku-CTF-安慰奖（PHP反序列化）
8. ailx10：Bugku-CTF-newphp（PHP反序列化，字符串逃逸）
9. ailx10：Bugku-CTF-sodirty（JavaScript 原型链污染）
10. ailx10：Bugku-CTF-Java EL表达式注入（EL表达式注入，反弹shell）
11. ailx10：Bugku-CTF-Python Pickle Unserializer（Python的反序列，pickle）
12. ailx10：Bugku-CTF-Java Fastjson Unserialize（Java反序列化，Fastjson）
13. ailx10：Bugku-CTF-CaaS1（Python模版注入）
14. ailx10：Bugku-CTF-CBC（PHP反序列化，CBC字节翻转）
15. ailx10：Bugku-CTF-noteasytrick（ZipArchive反序列化删除文件，哈希真相等）

已开启送礼物

发布于 2024-12-01 18:59・江苏