3.30日基本培养路线介绍

  • Web方向研究
  • 深度实战研究,并非科研研究。

Web

入门

  • buuctf直接针对wp进行解决
  • 照着题目里面的php问题进行学习
  • 前端语言只用看懂

中期

  • 平时把代码审计作为一个大方向。
  • 入门SRC漏洞,先挖高校漏洞。
  • 有关内网渗透
    • 以上为推荐网站
    • 以及hackthebox
  • 国际赛:ctftime根据权重选择难度。

后期

  • 主要是个人研究工具

WP的来源

PWN

资源

  • ctfwiki PWN相关内容

  • 做题:

    • buuctf

    • Linux使用wsl即可

    • 直接看X86汇编语言

  • 打公开赛的赛题,国际赛

师傅的问题

  • AWD的Web题一定要快速找到后门,不需要很高的web知识,比较好去稳定排名
  • 在赛场上不好一个个处理靶机。
  • 对框架的定位,快速了解系统框架,得知漏洞点。在githubCMS进行研究。
  • 团队:
  • 两个web一个pwn。

其他问题

  • 不要在配置环境花费太多时间
  • 自己开发工具,实用性是不是会更高?
  • 主要工具用于渗透方向。

5.26日的问题以及回答

本地部署都是可以的

  • 知识库武器库都是可以的
  • 本地ai也可以部署

脚本能力

  • 主要是对脚本的修改能力

学习节奏

  • 还是要先打牢基础,再打比赛。

关于js

  • 主要是express框架

先学express,开发express。

  • 简单学一周即可。
  • 主要是渲染漏洞和原型链污染漏洞。

关于学习阶段

  • 基础 -> 竞赛 -> 以赛代练
  • nssctf

代码审计

先用ai跑一遍再人工审计

flask框架

重点了解flask框架

先看类似于__import__zhezho

SSTI知识点了解

先知社区SSTI绕过利用
使用flaskjinja
重点了解python的ssti绕过

高频漏洞

  • 国内:
    rce(bypass),文件包含(lfi->rce,filterchain),ssti,原型链污染,框架漏洞,ssrf
  • 国外:
    xss csrf 较多

推荐视频资源

  • b站up主:橙子科技工作室