未开启cookie无法登录使用i春秋的完整服务,请设置开启浏览器cookie

进入春秋云实企安殿 进入助教后台
  • CTF入门指南

  • CTF-WEB

  • CTF—Reverse

  • CTF—APK

  • CTF—PWN

  • CTF—MISC

已学完学习中未学习即将上线

CTF入门指南

CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。让我们学习CTF的前世今生及未来来入门CTF吧。

CTF-WEB

在CTF比赛中,Web题型是CTF中常考题型之一,它将实际渗透过程中的技术技巧转化为CTF赛题,由于知识面比较广泛,因此系统的总结和练习Web类题,才是快速学习CTF的方法。

WEB安全
1.  Web应用程序安全与风险 2.  HTTP请求与响应 3.  HTTP方法、消息头讲解
4.  Cookie、状态码、Web功能 5.  URL编码讲解 6.  HTTP方法漏洞利用
7.  渗透测试常见数据库、脚本语言、中间件讲解 8.  渗透测试环境搭建 9.  注入攻击原理及自己编写一个注入点
10.  注入式攻击-OR漏洞实战讲解 11.  注入式攻击-MySQL手工注入基础及注入点探测 12.  注入式攻击-MySQL手工注入一个站
13.  注入式攻击-MySQL手工之内容获取 14.  注入式攻击-MySQL手工注入之group_concat高效查询 15.  注入式攻击-Cookie手工注入入门
16.  注入式攻击-Cookie注入工具 17.  XSS原理解析 18.  XSS的三种分类(DOM,反射,储存)(上)
19.  XSS的三种分类(DOM,反射,储存)(下) 20.  上传漏洞-上传检测流程概述及客户端检测绕过 21.  上传漏洞-服务器检测绕过(MIME、目录路径)
22.  上传漏洞-服务器检测绕过(黑名单) 23.  上传漏洞-服务器检测绕过(白名单) 24.  上传漏洞-服务端检测绕过(文件内容检测)
25.  上传漏洞-解析漏洞及上传攻击框架讲解 26.  CSRF攻击原理及分类 27.  CSRF攻击实战
28.  CSRF攻击-攻击防御 29.  文件包含漏洞分类及上传技巧 30.  文件包含读写文件
31.  文件包含高级利用及防御方法 32.  验证码分类及原理讲解 33.  验证码各类方法突破分析
34.  验证码识别暴力破解密码 35.  远程命令执行-OS命令执行 36.  远程命令执行-PHP命令执行
37.  远程命令执行-DVWA命令执行代码分析 38.  jboss远程命令执行视频 39.  Sturts2、Java反序列化漏洞演示
40.  openSSL HeartBleed漏洞 41.  php-multipartform-dos与Slow HTTP Denial 42.  逻辑、越权漏洞挖掘(上)
43.  逻辑、越权漏洞挖掘(中) 44.  逻辑、越权漏洞挖掘(下) 45.  暴力猜解原理及方法
46.  暴力猜解实战测试 47.  编辑器漏洞讲解(上) 48.  编辑器漏洞讲解(中)
49.  编辑器漏洞讲解(下) 50.  Web应用其它常见漏洞总结(上) 51.  Web应用其它常见漏洞总结(下)
52.  手机APP漏洞挖掘(上) 53.  企业渗透测试方案讲解(上) 54.  企业渗透测试方案讲解(下)
WEB进阶
1.  布尔注入过滤绕过技巧 2.  布尔注入 - CTF题目解答 3.  文件上传-伪协议zip和phar利用
4.  SQL注入原理深入解析 5.  SQL注入利用 - Union联合注入原理 6.  Union联合注入实战
7.  Union联合注入防御绕过技巧(宽字节) 8.  Union联合注入过滤绕过技巧 9.  SQL注入利用 - 布尔注入原理
10.  SQL注入利用 - 延时盲注原理 11.  Python自动化利用延时盲注 12.  SQL注入利用 - 报错注入原理分析
13.  SQL注入实战-报错注入利用 14.  SQL注入利用 - 约束注入原理sqlmap注入实战 15.  Sqlmap自动化注入工具介绍与基本使用
16.  Sqlmap自动化注入实战 - POST注入 17.  SQL注入常用Trick基础 18.  代码执行介绍
19.  命令执行介绍 20.  命令执行分类 21.  命令执行技巧
22.  长度限制的命令执行 23.  无数字和字母命令执行 24.  文件上传漏洞原理与简单实战
25.  文件上传利用-JavaScript客户端检查 26.  文件上传利用—MIME类型检查 27.  文件上传—黑名单检查
28.  文件上传-白名单检查 29.  文件上传-Magic-Header检查 30.  文件上传-竞争上传
31.  文件上传-简单利用 32.  伪协议phpfilter利用 33.  文件包含-日志文件利用
34.  文件包含-session会话利用 35.  SSRF介绍与简单利用 36.  gopher对mysql利用
37.  SSRF中可以使用的协议分析 38.  Linux基础知识 39.  Redis未授权访问漏洞利用与防御
40.  XML基础必备 41.  XML盲注利用技巧 42.  序列化和反序列化介绍
43.  PHP反序列化识别与利用 44.  PHP序列化特殊点介绍 45.  PHP序列化-魔术方法
46.  PHP序列化漏洞案例—任意命令执行 47.  Requests模块安装与介绍 48.  Python requests库 使用
49.  Python-XXS自动化检测 50.  Python-SQL自动化检测 51.  Python漏洞泄露自动化挖掘
52.  Flask 框架介绍与基础 53.  SSTI介绍与利用 54.  SSTI CTF trick技巧

CTF—Reverse

真实CTF比赛中的逆向是什么样的?逆向的核心是什么?让我们带着这些问题详细学习逆向中的基础知识以及实战项目。

CTF—APK

学习CTF中的APK部分要从安卓背景,安卓生态圈简介、安卓安全架构以及常用的概念和技术,并且掌握安卓静态分析、动态调试、HOOK。

安卓逆向
1.  Android环境配置与常用工具介绍 2.  调试方法及Smali文件结构 3.  新版本调试方法及Smali函数文件修改
4.  JD-Gui进行代码快速阅读分析 5.  实战演练如何去去除应用中的广告 6.  分析神器JEB使用方法
7.  常用Android快速定位关键点方法介绍 8.  从0开始打造自己的破解代码库 9.  Android 结构基础讲解
10.  快速Hook代码搭建之 Cydia Substrate 11.  快速Hook代码搭建之 Xposed 12.  阶段考核
13.  安装部署Android源码编译环境 14.  Android源码目录结构与修改引导 15.  Android源码修改与刷机介绍
16.  Android Jni 编程 17.  arm 汇编代码讲解1 18.  arm 汇编代码讲解2
19.  arm 汇编代码讲解3 20.  arm 汇编代码讲解4 21.  arm 汇编代码讲解5
22.  class.dex文件格式讲解 23.  Android 动态代码自修改原理 24.  Android 动态代码自修改实现1
25.  Android 动态代码自修改实现2 26.  Android脱壳中的思路,技巧 27.  elf结构详解:动态运行库so文件的文件组成结构
28.  elf结构详解:加载so文件的流程 29.  elf文件变形与保护 30.  elf文件修复分析
31.  so加壳文件修复 32.  常用调试检测方法与过检测方法 33.  Android源码定制添加反反调试机制
34.  Android dvm 脱壳2 35.  Android dvm 脱壳3 36.  Dalvik dex处理分析
37.  IDA脱壳脚本编写 38.  Odex修复方法 39.  IDAOdex修复脚本编写
40.  Android 加壳原理 41.  Android 加壳保护工具编写1 42.  Android 加壳保护工具编写2
43.  Android 加壳保护工具编写3
安卓软件逆向核心分析
1.  课程简介 2.  环境搭建与配置 3.  安卓手机与APK
4.   安卓相关编程语言与用途 5.   Davlik与smali 6.  一个逆向破解实例与逆向分析报告
7.  APK压缩包修改与签名(1) 8.  APK压缩包修改与签名(2) 9.  反编与回编译(1)
10.  反编与回编译(2) 11.  软件字符串查询修改 12.  软件组件分析与布局修改(1)
13.  软件组件分析与布局修改(2) 14.  软件隐藏资源分析与修改(1) 15.  软件隐藏资源分析与修改(2)
16.   软件简单代码修改(上) 17.  软件简单代码修改(下) 18.  软件去广告与加自定义注册机SDK(上)
19.  软件去广告与加自定义注册机SDK(下) 20.  一个综合小实例(上) 21.  一个综合小实例(下)
22.  了解不同的内购与产生原理 23.  几种常见内购方法 24.  安卓内存数据修改与验证(1)
25.  安卓内存数据修改与验证(2) 26.  静态分析不静态策略JEB、JADX(一) 27.  静态分析不静态策略JEB、JADX(二)
28.  ARM汇编语言速成分析(一) 29.  ARM汇编语言速成分析(二) 30.  NDK的jni开发技术与so
31.  IDA静态分析使用与技巧(一) 32.  IDA静态分析使用与技巧(二) 33.  IDA简单代码还原与验证(一)
34.  IDA简单代码还原与验证(二) 35.  动态调试与断点 36.  DDMS与简单动态调试
37.  AndroidStudio源码级调试 38.  IDEA无源码级调试 39.  IDEA动态调试分析程序(一)
40.  IDEA动态调试分析程序(二) 41.  IDEA动态处理so与JEB动态调试(一) 42.  IDEA动态处理so与JEB动态调试(二)
43.  IDA动态调试DEX(一) 44.  IDA动态调试DEX(二) 45.  IDA动态修改DEX
46.  IDA动态调试so(一) 47.  IDA动态调试so(二) 48.  IDA动态修改so(一)
49.  IDA动态修改so(二) 50.  IDA动态灵活调式so与反调试(一) 51.  IDA动态灵活调式so与反调试(二)
52.  IDA脚本、插件与内存dump 53.  安卓HOOK技术(一) 54.  安卓HOOK技术(二)
55.  Unity3d游戏安卓逆向环境搭建 56.  常用搜索关键字与传统修改 57.  返回语句与赋值语句处理(一)
58.  返回语句与赋值语句处理(二) 59.   算术运算语句与条件语句处理 60.  LOG与注入变量处理
61.  Unity3d DLL混淆、加密处理(一) 62.  Unity3d DLL混淆、加密处理(二) 63.  Unity3d验证、资源提取与反射java
64.  Unity3d 5.0瓶颈 IL2CPP 65.  Coco2dx原生逆向与LUA解密(一) 66.  Coco2dx原生逆向与LUA解密(二)
67.  服务器协议与签名验证 68.  安卓文件结构与反破解 69.  常见病毒木马浅析
70.  安卓软件逆向开发 71.  软件自动化风险检测平台

CTF—PWN

在CTF比赛中二进制举足轻重,接下来我们就从CTF比赛中的漏洞利用(PWN)方向,进行由浅入深的学习,从基础到提高。

CTF—MISC

MISC是切入CTF竞赛领域、培养兴趣的最佳入口,它涉及到的知识和技术更全面,能更好地培养逆向思维,提高“解谜”能力,让初学者“脑洞”大开。