CTF能力矩阵
类别 工具/库 状态 考点覆盖
Web安全 nmap, nikto, gobuster, sqlmap, curl ✅ SQL注入、XSS、目录遍历、文件上传
密码学 pycryptodomex, hashlib ✅ 哈希破解、编码转换、RSA/AES加解密
密码破解 john, hashcat, hydra ✅ 暴力破解、字典攻击、哈希破解
逆向工程 pwntools ✅ 二进制分析、文件提取
网络渗透 nmap, msfconsole, nc ✅ 端口扫描、漏洞利用、反向连接
字典攻击 rockyou.txt, SecLists ✅ 密码爆破、目录枚举
环境配置备忘录
Python加密库导入方式
<PYTHON>
使用pycryptodomex (已安装)
from Cryptodome.Cipher import AES, DES
from Cryptodome.PublicKey import RSA
from Cryptodome.Hash import SHA256, MD5
常用命令速查
<BASH>
Nmap快速扫描
nmap -sV -sC -p- <target>
目录扫描
gobuster dir -u http://target -w /usr/share/seclists/Discovery/Web-Content/common.txt
密码破解
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
SQL注入
sqlmap -u "http://target/page?id=1" --dbs