参加 CTF (Catch The Flag) 网络攻防比赛算起来今年是第三次，感觉也是最难的一次。

说一下本次参赛的体会。

• 本次比赛提供了 7道 Web 题，3 道 Misc 题，3道 pwn 题，2道 Mobile 题
• 本次做出了一道 Web 题，Web 题有 3道有基本的方向和思路，能够定位 反序列化、XXE注入，但是自己找的 payload 还是不能生效，经验和积累还是不够
• Misc 方向有一个图片隐写和音频隐写，但是一直无法找到突破点
• pwn 和 Mobile 方向的题目完全不会，这块是空白领域
• 这次比赛主要精力都花在了 Web 上，新的工具没有使用，主要还是经验不够
• 赛前在 攻防世界 做了一些新手题目，本次比赛的试题更偏向于中高级

通过本次比赛，觉得自己以后要加强的方面

• XXE 的题这次比较多，后续要熟悉 XXE payload 构建的方式
• Web 题中 Pyhon 和 Node 环境的题目开始变多起来，这部分要注意熟悉代码，比赛中关注代码
• 比赛过程中要安排好自己的时间，对于觉得有思路的题目，不要盲目的搜索资料，要认真分析
• Pwn 和 Mobile 领域，要学习的路还很长

下面是比赛准备过程中梳理的一些工具，供大家参考。

编码转换工具

• Morse 编码，摩尔斯编码
• 字母表编码
• ASCII 编码

隐写读取工具

• 010Editor
• file 命令
• strings 命令
• binwalk 命令

在线工具

1. csaw-ctf-misc-pdf
2. 与佛论禅
3. rot13
4. 站长之家 - Base64解密
5. 摩尔斯电码转换
6. 在线二进制转换为字符串
7. 在线凯撒解密

反编译工具

1. JD-GUI
2. ida
3. upx 脱壳工具，Kali 中带了
4. uncompyle6 ，pyc 反编译工具，可以通过 pip 安装

参考资料

1. CTF Wiki
2. Mac 安装 Java 反编译工具 JD-GUI
3. XCTF-Reverse-ExerciseArea-005-writeup
4. 菜鸡开始接触一些基本的算法逆向了