最近公司组织了一次为期两个小时的CTF培训，主要是讲一些思路。虽然没什么干货，不过积累总是好的。

* 做题逻辑：

根据分值来判断题目难易程度，在有限时间里可以舍弃认为有坑或者做不出的题目，如果队伍中某个人有信心能够做出最高分的题，可以给他足够多的时间先做分值高的题，毕竟高分题拉分，分值低的题到后面不会浪费很多时间，但是如果比赛规定第一名做出的人有加分，那肯定先抢低分题。

* 准备工具：

扫描器（CTF需要的是足够多的信息收集，出题人不会让你花很长时间扫描，可能在题目中会有提示，扫描以小型扫描器为主，一个人使用大型扫描器），burpsuite，sqlmap，菜刀，python。

*  一些思路：1. 查看源码，在CTF里面是最重要的方式之一，是基础2. HTTP协议3. HTTP头修改，包括IP地址，浏览器信息（有时候题目只允许使用某浏览器）来源4. sqlmap的tamper要了解，一般比赛waf关键字不会很难，常规绕过，输入关键字符select等，可以大小写转换，url编码，能用盲注的肯定可以用报错注入，报错注入的payload可以在网上先记下来。5. robots.txt文件6. 扫描不要占用很长时间7. 可以多带一个电脑，插线板，网线8. 一般CTF用古典型加密，带一个识别密文的工具9. 返回包的响应头可能有提示信息10. burp里面提交某数据，可以是get，post或者在头部字段11. php审计，php大部分是函数漏洞12. 关注最新漏洞

大概就是酱紫，还木有实践过，不能保证都是正确的，有问题欢迎指正~~~