信息收集 —— 渗透测试的灵魂,CTF的开门红

    古有言,知己知彼百战不殆,即我们对一个目标了解的越大,那我们手上所掌握的攻击面就越大,那我们能渗透成功的可能性就越大。

    当然,我们偏重点在CTF,CTF对信息收集的要求没有实际的渗透测试那么高,但基础的信息收集姿势还是要掌握的。可以去看看一些实际比赛的WriteUp,许多题目不进行信息收集,是很难做下去的。

    【靶场地址】
    https://ctf.show/
    因付费靶场帐号有限,所以登记式进行使用,详细群里说明

    【参考WriteUp】
    网上找即可

    【完成打卡指标】

    • 任务一 查漏补缺(Orange_caramel、库伊拉、AsakuraKrypton 和 5MUpgirscvJ3ppXYo同学)

    周六晚复盘内容进行查漏补缺,尤其是提问过的内容(不仅限于自己被问到的问题)
    2021.7.22 00:00 前 补充好把更新好的博客链接发至群里

    有少部分同学是分了很多个知识库的,都合并到一个知识库里

    • 任务二 补上Week1未完成的关卡(AsakuraKrypton 和 5MUpgirscvJ3ppXYo同学)

    因完成不到12个题目,完成至少12个题目
    2021.7.24 00:00 前补充好把更新好的博客链接发至群里

    • 任务三(Orange_caramel、库伊拉、AsakuraKrypton 和 5MUpgirscvJ3ppXYo同学)

    image.png
    信息收集中的 web1-web10 共计 10个题目
    2021.7.27 00:00 前提交10个题目的WriteUp

    【完成收获】

    • 进一步熟悉 OWASP TOP 10
    • F12信息泄漏、HTTP请求和返回头信息泄漏、目录爆破、robots信息泄漏、文件源码泄漏、git源码泄漏、svn源码泄漏、vim临时文件信息泄漏、域名TXT解析记录信息泄漏、js代码信息泄漏和信息泄漏组合拳。