CTFHub

是什么

CTFHub 是交互式 CTF 学习平台，题目按知识点拆分较细，尤其适合 Web 入门训练。

常见模块：

• HTTP 协议
• 信息泄露
• SQL 注入
• 文件上传
• SSRF
• 命令注入

安装与配置

无需安装。注册账号后按知识点启动环境。

基本用法

1. 选择技能树或题目分类。
2. 启动题目环境。
3. 按知识点验证。
4. 提交 flag。
5. 对应回看知识库页面。

注册与账号

1. 访问 CTFHub 官网
2. 使用邮箱注册账号
3. 完善个人信息
4. 浏览技能树和题目分类
5. 开始按知识点练习

注意事项：

- 不要在公开文档中记录账号密码
- 题目环境有时间限制
- 及时保存做题记录

题目分类

CTFHub 按知识点拆分较细：

HTTP 协议:
  - 请求方法
  - 响应状态码
  - Header 头
  - Cookie
  - 认证方式

信息泄露:
  - 目录遍历
  - 备份文件
  - .git 泄露
  - .svn 泄露
  - DS_Store

SQL 注入:
  - 字符型注入
  - 数字型注入
  - 报错注入
  - 布尔盲注
  - 时间盲注
  - 堆叠注入
  - 二次注入

文件上传:
  - 前端验证
  - MIME 类型
  - 文件头检测
  - .htaccess
  - 竞争条件

SSRF:
  - 内网探测
  - 协议利用
  - Bypass
  - DNS Rebinding

命令注入:
  - 管道符
  - 逻辑运算符
  - 变量替换
  - 通配符

XSS:
  - 反射型
  - 存储型
  - DOM 型
  - 过滤绕过

反序列化:
  - PHP 反序列化
  - Java 反序列化

使用技巧

适合概念对照

做题时把每道题反向关联到知识点：

HTTP -> HTTP请求与响应
SQL注入 -> SQL注入基础
SSRF -> SSRF基础
文件上传 -> 文件上传基础

不要跳过基础模块

HTTP、信息泄露、请求方式、Header 这些基础题看似简单，但能补齐 Web 做题观察能力。

记录最小验证动作

每题记录"我用什么输入证明它是这个漏洞"，比只记录 payload 更有价值。

按技能树顺序练习

1. HTTP 基础 → 理解请求和响应
2. 信息泄露 → 学会信息收集
3. SQL 注入 → 掌握注入基础
4. 文件上传 → 理解上传绕过
5. SSRF → 学习服务端请求伪造
6. 命令注入 → 掌握 RCE 基础

对比不同解法

同一知识点的多道题可能有不同解法，记录对比：

题目1: 字符型注入 - 用 UNION SELECT
题目2: 字符型注入 - 用布尔盲注
题目3: 字符型注入 - 用时间盲注

环境过期前保存

1. 启动环境后立即记录 URL
2. 保存关键请求到 Burp
3. 记录 payload 和响应
4. 截图关键步骤

常见问题

环境过期

重新启动环境，并把关键请求写进 WP，避免依赖临时地址。

题目太碎

这是优点。用它补基础判断，不要期待每题都是完整综合场景。

平台提示和知识库说法不同

以漏洞本质为准，记录概念差异。

提示找不到

1. 查看题目描述
2. 查看页面源码
3. 查看响应头
4. 尝试常见路径

某个知识点做不下去

1. 回看知识库对应页面
2. 搜索该知识点的公开 WP
3. 先做其他知识点
4. 积累后再回来

补充说明

CTFHub 是 Web 入门训练的最佳平台之一，题目按知识点拆分，适合逐个攻破。

平台环境有时间限制，建议先下载附件或记录关键信息。

做题后及时写 WP，记录验证方法和关键 payload。

关联

• Web题的观察顺序
• HTTP请求与响应
• SQL注入基础
• SSRF基础
• 文件上传基础
• 做题记录模板