从去年9月接触 CTF 开始,觉得这个东西好🐮🍺,但是限于一些条件,以及不知道如何入门,一直拖拉到年末才开始 CTF 之旅。

自己做 Web 题目也有将近半年的时间了,这半年里由于学业原因,以及其他原因吧,反正真正学习 CTF 的时间我个人认为真的很短,这期间也参加了许多大大小小的比赛,国内的也好,国外的也罢;强网杯也好,国赛也罢,虽然全程很自闭,但是也确确实实学到了不少东西。

我参加的第一个 CTF 比赛,是在去年12月15号左右的“第三届广西南宁网络安全挑战赛”。

我现在依稀记得web三道题目,第一道php代码审计,考的ereg函数%00截断绕过,第二道条件竞争,第三道git泄露和sql数据库利用。这三道题目算是启蒙题目了😂

此后就一直是以赛促练,以赛促学的状态。找了许多练习平台,比如说攻防世界、蓝鲸、i春秋、实验吧、南邮的平台、还有许多其他的。

这一期间自己也是在 ctftime 上报名参加各种比赛,有时候也就做做签到题,看看别的题目,等到 wp 放出来再去复现,最后写一套完整的 wp 放到 CSDN 上。

但是慢慢的我发现这么搞不行,因为时间太赶,自己还没有总结好上一个比赛的所有知识点,就要赶去下一个比赛,所以事实上并没有学到什么。

后来在一些国内大型比赛中也确实验证了这一点,国赛、强网打到自闭,勉勉强强、磕磕绊绊拿到名次。国赛线下也是一样,简单的web题目可以做一做,难一点的就不会了,但问题是简单的大家都会做。

做到现在,web题目给我的直观感受就是越来越贴近实际了,越来越“高级”了。

以前的web题目,签到题不是view-source,就是本地登录,再或者一个简单的php代码审计,利用函数漏洞绕过。

但是现在不一样了,以今年的强网杯为例,最后放出来的签到题利用了thinkphp的漏洞,没有这方面的知识储备根本就不知道如何下手。

再者,现在的web题目考的越来越综合了,对于现在而言,我个人感觉大部分平台练习题现在只能作为入门,与现在的比赛题目和现在的实战相比,难度差距是在增大的。

所以我感觉自己有必要对前面做过的所有题目“再回首”,分类总结,结合现在的web安全,学着去分析,而不再是简单的做题、复现、wp这套模式,我希望自己可以真正地学到web安全方面的知识,不再是为了做题而做题。

我感觉,支撑我走到现在的,是兴趣,是对网络安全的一份热爱,立志为新时代网络安全做出新贡献。

就像首页中写到的,老当益壮宁移白首之心,穷且意坚不坠青云之志,加油!😀


分类: 随笔

1 条评论

段小白 · 2021年6月6日 下午11:41

看博主文章,都很有收获啊,原来博主学习到现在不过三年时间,我也想好好学习啊

发表评论

邮箱地址不会被公开。 必填项已用*标注