Julian 的博客

分类: web文本: web日期: 2026年6月11日 题目链接：https://ctf.show/challenges#web13-45 思考文件上传和文件包含的区别： 文件上传：写入文件，利用服务器校验漏洞，将一个不该上传的文件上传到服务器 文件包含：让服务器读取或者执行我指定的文件 对比点 文件上传 文件包含 本质 上传文件到服务器 让服务器包含某个文件 核心动作 写入 读取 / 执行 常见入口 头像、附件、图片上传 ?page=xxx、?file=xxx 关注点 后缀、MIME、文件头、解析规则 路径控制、目录穿越、包含方式 成功关键 上传的文件能否被解析执行 被包含的文件是否可控、是否被当代码执行 常见组合 图片马、.htaccess、.user.ini 本地文件包含、远程文件包含、日志包含 测试测试脚本： 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575...

Web CTF 的整体考点地图拿到web题目应该怎么分析 一、Web 题的核心分析框架一般把 Web 题分成 5 层： 12345 页面交互点 请求参数点 后端语言特性 中间件/配置特性 业务逻辑漏洞 也就是说，拿到一个页面，先问自己： 12345这个页面让我输入什么？这些输入会被后端怎么处理？处理结果在哪里体现？有没有报错、回显、跳转、文件生成？后端可能是什么语言和框架？ CTF Web 的本质基本就是：用户可控输入进入了危险位置。 二、常见 Web 考点总框架1. 信息泄露类这是最基础的一类，很多题第一步都要看。 常见位置： 12345678910/source/www.zip/.git//robots.txt/.svn//index.php.bak/.DS_Store/phpinfo.php/flag/flag.php 还要看： 12345678页面源代码响应头CookieJS 文件CSS 文件注释报错信息目录扫描结果 典型考点： 12345...

如果从头开始。 如果ai还没有大肆发展。 我会打开helloctf的欢迎页，重新感受ctf的乐趣与魅力。 快速开始 - Hello CTF 对照上面的新手引导，安装上所有需要的工具，不会再被工具难找、环境难配置一次次地劝退。 按照正确的规划，走着正确的道路。 一步一步，一步一个脚印。 然后，ai到来了。 from 猫猫の碎碎念 或许你会觉得阅读文档太耗费时间，或许你会觉得学习 CTF 得到的收益远没有 AI 一把梭高。 但是请记得： 生活并不只有 CTF，学到你手里的技术，别人抢都抢不走。 不得不承认，Vibe coding 确实有效提升了我们的效率，mcp 工具和 Openclaw skill 的介入确实提高了你的成绩。 但是，比赛之外呢？ 仅靠外力得来的力量，终究不属于你。 计算机人追求的“学习版”，“绿色版”，挖洞渗透的整体逻辑和方向把控，安全算法的研发与验证…… 这些东西，只靠 AI 工具确实很难实现啊…… 退一万步讲，即便你选择了人机协同的路线，也只有当你自身真正掌握时，AI 才能发挥出更高的水平。 否则，你只会成为 AI 的“累赘”：看不懂 AI 卡死在哪里，不知道...

第一梯队（必收藏）① CTF WikiCTF Wiki 官方站 GitHub： CTF Wiki Github 这是中文CTF圈公认的百科全书。内容覆盖： Web Reverse Pwn Crypto Misc Mobile IoT 原理 → 题型 → 例题 → 工具 → 实战 非常适合系统学习。 ② Hello CTFHello CTF Github 特点： 面向0基础 中文 对新人非常友好 填补很多信息差 对各阶段CTFer都友好的开源教程。 ③ CTF-All-In-OneCTF-All-In-One Github 这是西电 XDSEC 很经典的项目。 包含： Linux Web 汇编 ELF PE Pwn Reverse 本质上是一整本CTF教材。([GitHub][3]) 尤其是： Pwn部分国内很多战队成员都是靠这个入门的。([GitHub][4]) ④ CTF ToolsCTF Tools Github 专门收录： Web工具 Reverse工具 Pwn工具 Crypto工具 Misc工具 以后比赛忘记某个工具名字时特别有用。([Git...

这是 Hexo + Butterfly 新源站的预览文章。 后台系统已经可以写入 Markdown、保存草稿、发布文章，并触发站点重新生成。后续把旧静态站点里的文章迁移回 source/_posts 后，这里就会显示你的真实博客内容。