CTF-web相关常用工具，谁是你的最爱？

1、Sqlmap——运行需要python2或python3环境，支持在windows/linux操作系统下运行。是一个自动化的SQL注入工具，其主要功能是扫描，发现并利用给定的URL的SQL注入漏洞。

2、BurpSuite——运行需要JAVA环境，是一款集成化的渗透测试工具，包含了很多功能，可以帮助我们高效地完成对Web应用程序的渗透测试和攻击。常用的功能模块：

Proxy——是一个拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。

Intruder——是一个定制的高度可配置的工具，对web应用程序进行自动化攻击，如：枚举标识符，收集有用的数据，以及使用fuzzing技术探测常规漏洞。

Repeater——是一个靠手动操作来补发单独的HTTP请求，并分析应用程序响应的工具。

Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具（常用base64解码）。

3、nmap（kali系统自带）——一个网络连接端扫描软件，用来扫描网络靶机上开放的端口。确定哪些服务在运行，并且推断计算机运行哪个操作系统。它是网络管理员必用的软件之一，以及用以评估网络系统安全。nmap[ip地址|域名]

4、Wireshark——是使用最广泛的一款「开源抓包软件」，常用来检测网络问题、攻击溯源、或者分析底层通信机制。CTF常用功能:

编辑-查找分析，直接搜索flag{关键字。

分析-追踪流、TCP、HTTP。

统计-会话、端点、协议分析。

文件-导出对象、导出分组解释结果。

应用显示过滤器，筛选IP、协议、端口等。

5、dirsearch——基于python环境。常用于暴力扫描页面结构，包括网页中的目录和文件。使用kali安装sudoapt-getInstalldirsearch

简单用法：

://target

,html,js-uhttps://target

,html,js-uhttps://target-w/path/to/wordlist

6、D盾——测试版在widnows下运行，目前最为流行和好用的web查杀工具，同时使用也简单方便。D盾的功能比较强大，CTF中常用来进行查找webshell文件。

很赞哦!（15）