2026年网络安全工程师CTF夺旗赛考前冲刺试卷及答案

2026年网络安全工程师CTF夺旗赛考前冲刺试卷及答案第一部分：单项选择题（本大题共20小题，每小题2分，共40分。在每小题给出的四个选项中，只有一项是符合题目要求的）1.在CTF比赛中，Web安全方向是极其重要的一环。关于HTTP状态码，以下哪个状态码表示服务器理解请求但拒绝处理它，通常用于权限验证失败的情况？A.200B.403C.404D.5002.SQL注入漏洞是Web题中最常见的漏洞类型之一。在Union联合查询注入中，用于确保前后两个查询语句的列数一致的注释符（在MySQL中）通常是？A.#B.--C.;--D.//3.在Linux系统中，SUID（SetUserID）是一种特殊的文件权限。当一个设置了SUID位的可执行文件运行时，它将以谁的权限运行？A.当前登录用户的权限B.文件所有者的权限C.Root用户的权限D.文件所属组的权限4.密码学在CTFCrypto方向中占据核心地位。以下哪种加密算法属于非对称加密算法？A.AESB.DESC.RSAD.RC45.在进行隐写术分析时，图片文件的头部结构非常关键。PNG（PortableNetworkGraphics）文件格式的文件头魔术字节是？A.FFD8B.89504E47C.424DD.474946386.在CTFPwn方向中，利用栈溢出漏洞通常需要覆盖返回地址。在32位x86架构中，函数返回地址通常存储在哪个寄存器中？A.EAXB.EBXC.ECXD.EIP7.Base64编码是一种常见的编码方式，常用于简单的CTFMisc题目。字符串“CTF”进行Base64编码后的结果是？A.Q1RGB.Q1RmC.Q1RJD.Q1RH8.在Wireshark流量分析中，过滤HTTPPOST请求的语法是？A.http.method=="POST"B.http.request.method=="POST"C.http.post==trueD.http.method.post9.以下哪种攻击方式属于客户端攻击，常通过诱骗用户点击恶意链接来窃取Cookie？A.SQL注入B.XSS（跨站脚本攻击）C.CSRF（跨站请求伪造）D.SSRF（服务端请求伪造）10.在CTFReverse逆向工程方向中，PE文件是Windows平台下的可执行文件格式。PE文件的头部结构是？A.ELFHeaderB.PEHeader/IMAGE_NT_HEADERSC.Mach-OHeaderD.ZIPHeader11.在Python中，pickle模块可以实现对象的序列化和反序列化。当反序列化不受信任的数据时，可能导致的严重漏洞是？A.XXEB.命令执行C.文件包含D.路径遍历12.在RSA加密算法中，公钥由(n,e)组成，私钥由(n,d)组成。其中A.pB.pC.(D.(13.在CTF比赛中，经常会遇到需要爆破哈希值的情况。以下哪种哈希算法在目前的CTF题目中通常被认为是不安全的，且容易通过彩虹表破解？A.MD5B.bcryptC.PBKDF2D.scrypt14.在LinuxBash中，反引号（`）和$()都用于命令替换。如果要在Bash脚本中执行`ls`命令，以下哪种写法是错误的？A.`ls`B.$(ls)C.{ls}D.以上都是正确的15.常见的Web中间件Tomcat默认的管理后台路径通常是？A./adminB./manager/htmlC./wp-adminD./phpmyadmin16.在CTFMisc题目中，有时候需要将RGB颜色值转换为字符。如果某个像素的RGB值分别为(72,101,108)，它们对应的ASCII字符组成的字符串是？A.HelB.WorC.lloD.Fla17.在二进制漏洞利用中，Canary（金丝雀）是一种防止栈溢出的保护机制。Canary值通常被放置在栈的什么位置？A.返回地址之前B.返回地址之后C.局部变量之前D.栈底18.以下哪个协议默认使用UDP协议，传输层端口号为53？A.HTTPB.FTPC.DNSD.SSH19.在CTFWeb题目中，PHP伪协议常用于文件包含漏洞。如果要读取PHP源代码，应该使用哪个伪协议？A.php://filterB.php://inputC.data://D.file://20.在AES加密中，分组长度通常是128位。如果使用AES-128-CBC模式，除了密钥外，解密时还必须提供什么参数？A.IV（初始化向量）B.Salt（盐值）C.Nonce（随机数）D.PublicKey第二部分：多项选择题（本大题共10小题，每小题3分，共30分。在每小题给出的四个选项中，有两项或两项以上是符合题目要求的）21.以下哪些属于OWASPTop10Web应用安全风险？A.BrokenAccessControl（失效的访问控制）B.CryptographicFailures（加密失败）C.Injection（注入）D.BufferOverflow（缓冲区溢出）22.在CTF逆向工程中，常用的静态分析工具有哪些？A.IDAProB.GhidraC.WinDbgD.OllyDbg23.关于XSS（跨站脚本攻击），以下哪些payload可以用来触发弹窗测试？A.<script>alert(1)</script>B.<imgsrc=xonerror=alert(1)>C.<svgonload=alert(1)>D.<bodybackground="javascript:alert(1)">24.在Linux系统中，以下哪些文件通常包含敏感信息，是CTFMisc或取证题目的重点分析对象？A./etc/passwdB./etc/shadowC./var/log/apache2/access.logD./proc/kcore25.常见的CTF比赛平台有哪些？A.CTFtimeB.HackTheBoxC.CTFdD.Flag平台26.在二进制Pwn题目中，常见的保护机制有哪些？A.NX（No-Execute）B.ASLR（AddressSpaceLayoutRandomization）C.PIE（PositionIndependentExecutable）D.StackCanaries27.以下哪些编码或加密方式在CTFMisc题目中经常出现，且具有可逆性？A.Base32B.Base64C.MD5D.URLEncode28.在SQL注入中，如果数据库是MySQL，以下哪些函数可以用来获取数据库结构信息？A.database()B.version()C.tables()D.schema()29.关于DNS重绑定攻击，以下说法正确的有？A.可以绕过同源策略B.依赖于DNS服务器TTL时间C.主要用于攻击内网服务D.是一种物理层攻击30.在Python的沙箱逃逸中，以下哪些函数或模块是危险的？A.__import__B.os.systemC.subprocess.PopenD.eval第三部分：填空题（本大题共20空，每空2分，共40分）31.在二进制计算中，十六进制数0x4A转换为十进制数是\_\_\_\_\_\_\_\_。32.HTTP协议中，用于告诉服务器客户端浏览器类型的请求头字段是\_\_\_\_\_\_\_\_。33.在RSA算法中，私钥指数d满足公式e×34.在CTF比赛中，Flag的常见格式通常以\_\_\_\_\_\_\_\_开头（大写）。35.ASCII码中，字符'A'的十进制数值是65，那么字符'a'的十进制数值是\_\_\_\_\_\_\_\_。36.在Linux权限中，rwxr-xr-x的八进制表示法是\_\_\_\_\_\_\_\_。37.常见的Webshell连接工具中国菜刀、冰蝎、哥斯拉中，默认通信端口为\_\_\_\_\_\_\_\_的通常是冰蝎（填具体数字）。38.在XSS攻击中，Cookie属性\_\_\_\_\_\_\_\_设置为HttpOnly可以有效防止JavaScript通过document.cookie读取Cookie，从而缓解Session劫持。39.在Wireshark中，跟随TCP流的快捷键是\_\_\_\_\_\_\_\_。40.Python中，用于计算哈希值的常用库hashlib中，计算MD5哈希的方法是\_\_\_\_\_\_\_\_。41.在CTF隐写术中，使用工具\_\_\_\_\_\_\_\_可以分析图片中是否隐藏了其他文件。42.异或运算具有可逆性，即A⊕B=43.在Git版本控制中，使用\_\_\_\_\_\_\_\_命令可以将暂存区的修改提交到本地仓库。44.SMTP协议默认使用的TCP端口是\_\_\_\_\_\_\_\_。45.在CTFWeb题目中，如果提示“Onlylocalhostcanaccess”，通常需要利用\_\_\_\_\_\_\_\_漏洞来进行绕过。46.Fastjson是Java常用的JSON库，其反序列化漏洞常利用\_\_\_\_\_\_\_\_类进行恶意代码执行。47.在Linux中，环境变量\_\_\_\_\_\_\_\_存储了系统的可执行文件搜索路径。48.逻辑运算中，TrueANDFalse的结果是\_\_\_\_\_\_\_\_。49.在AES加密中，密钥长度可以是128位、192位或\_\_\_\_\_\_\_\_位。50.在CTFMisc题目中，如果给了一个pcapng文件，通常使用\_\_\_\_\_\_\_\_软件进行分析。第四部分：简答题（本大题共4小题，每小题10分，共40分）51.简述SQL注入中的盲注与报错注入的区别，并各举一个常见的利用函数或技巧。52.请解释堆溢出中的unlink宏利用原理，并说明其利用需要满足的前提条件。53.在CTFMisc隐写题中，LSB隐写是什么原理？请简述如何从一张PNG图片中提取可能的LSB隐藏数据。54.简述RSA加密算法的密钥生成过程，并写出计算私钥d的数学公式。第五部分：综合分析与应用题（本大题共4小题，共50分）55.（Crypto，12分）在RSA加密系统中，已知公钥(n(1)请对n进行因数分解，求出p和q。（4分）(2)计算欧拉函数ϕ((3)已知密文c=2790，请计算私钥d并解密出明文m。（提示：计算56.（Web，13分）分析以下PHP代码片段，指出存在的安全漏洞，并写出获取Flag的方法。```php<?phphighlight_file(__FILE__);classFlag{public$file;publicfunction__destruct(){if(isset($this->file)){include($this->file);}}}if(isset($_GET['data'])){un}?>```假设当前目录下存在`flag.php`文件，且`php://filter`伪协议可用。(1)请指出该代码存在的漏洞类型。（3分）(2)解释`__destruct()`魔术方法在此处的作用。（5分）(3)构造一个Payload，读取`flag.php`的源代码。（5分）57.（Reverse，12分）给出一段简化的C程序逻辑（已编译为二进制文件），请分析其逻辑并找出正确的输入。程序逻辑描述：程序要求用户输入一个字符串。程序将字符串的每一个字符与数字`0x5`进行异或运算。然后将结果与目标字符串数组`target={0x7,0x0,0x9,0x0,0x16}`进行逐字节比较。如果完全匹配，则输出“Success”。(1)请写出异或运算的逆运算过程。（4分）(2)计算出正确的输入字符串。（8分）58.（Pwn/Misc，13分）在分析一个流量包时，发现其中包含了一段TCP传输数据。数据包Data部分（十六进制）如下：`0000001b676f6f64206a6f620000000568656c6c6f`(1)观察数据特征，判断其可能使用的协议或数据格式。（提示：关注前4个字节）（4分）(2)请提取出数据中包含的明文字符串。（5分）(3)如果这是一段Pwn题目中通过Socket传输的数据，写出C语言中对应的结构体定义（假设数据为小端序）。（4分）参考答案及详细解析第一部分：单项选择题1.B解析：403Forbidden表示服务器理解请求但拒绝执行，通常是权限不足。200是成功，404是未找到，500是服务器内部错误。2.A解析：在MySQL中，`#`是单行注释符，常用于注释掉原查询语句后面的部分以闭合SQL语句。3.B解析：SUID位设置后，执行文件时，进程的有效用户ID（EUID）变为文件的所有者，而非当前执行者。4.C解析：AES、DES、RC4均为对称加密算法，加解密使用同一个密钥。RSA是非对称加密算法。5.B解析：PNG文件头固定为89504E470D0A1A0A。A是JPEG，C是BMP，D是GIF。6.D解析：EIP（ExtendedInstructionPointer）存储下一条指令的地址，函数返回时覆盖EIP即可控制程序流程。7.A解析：CTF->Ascii(67,84,70)->Base64编码表映射：67->Q,84->1,70->R，补齐为Q1RG。8.B解析：Wireshark过滤HTTP请求方法使用`http.request.method`字段。9.B解析：XSS攻击在客户端执行恶意脚本，可窃取Cookie。CSRF是伪造请求，SSRF是服务端请求伪造。10.B解析：PE头是Windows可执行文件格式特有的。A是Linux，C是macOS/iOS，D是压缩包。11.B解析：Python的pickle在反序列化时会自动执行`__reduce__`等魔术方法，可导致任意代码执行。12.C解析：欧拉函数对于两个不同素数p,q，13.A解析：MD5存在碰撞且计算速度快，容易被彩虹表破解。bcrypt等是加盐哈希，相对安全。14.C解析：`{ls}`在Bash中不是命令替换语法，而是字面量花括号，除非用于通配扩展。15.B解析：Tomcat默认管理路径为`/manager/html`或`/host-manager/html`。16.A解析：72是'H',101是'e',108是'l'。组合为"Hel"。17.B解析：Canary被插入在栈中局部变量和返回地址（EBP）之间，函数返回前会检查，防止溢出覆盖返回地址。18.C解析：DNS默认使用UDP53，也可以使用TCP53进行区域传输。19.A解析：`php://filter`可以用于读取文件并进行base64编码等转换，常用于读取源码。`php://input`用于执行POST数据。20.A解析：CBC模式需要初始化向量IV来保证相同明文加密出不同密文，且参与第一个分组的异或运算。第二部分：多项选择题21.ABC解析：OWASPTop10包含A、B、C等。BufferOverflow虽严重但通常归类于软件安全而非纯WebTop10（尽管相关）。22.AB解析：IDAPro和Ghidra是静态分析工具。WinDbg和OllyDbg主要归类为动态调试器（尽管OllyDbg也有静态分析功能，但IDA/Ghidra是代表）。23.ABCD解析：这些都是常见的XSSPayload，分别利用script标签、img标签onerror事件、svg标签onload事件、body标签background伪协议。24.ABC解析：/etc/passwd包含用户信息，/etc/shadow包含密码哈希，access.log包含访问记录。/proc/kcore是物理内存映像，也包含敏感信息，但前三者更基础。25.ABC解析：CTFtime是赛事聚合站，HTB是练习平台，CTFd是开源比赛部署平台。26.ABCD解析：NX（堆栈不可执行）、ASLR（地址随机化）、PIE（地址无关代码）、Canary（金丝雀）均为常见二进制保护。27.ABD解析：Base32、Base64、URLEncode都是编码，可逆。MD5是哈希，不可逆。28.AB解析：`database()`返回当前库名，`version()`返回版本。`tables()`不是标准函数，通常通过`information_schema.tables`查询。29.ABC解析：DNS重绑定利用TTL时间短，将域名解析到内网IP，配合浏览器攻击内网服务。30.ABCD解析：`__import__`可以导入os模块，`os.system`、`subprocess.Popen`、`eval`均可直接或间接执行命令。第三部分：填空题31.74解析：4×32.User-Agent33.ϕ(34.FLAG或flag{（通常格式为flag{...}或FLAG{...}，此处填flag或FLAG均可，按题意填flag或FLAG{皆可，这里填flag）。35.97解析：小写字母比大写字母大32，65+36.755解析：r=4,w=2,x=1。Owner:4+2+1=7,Group:4+0+1=5,Other:4+0+1=5。37.50050（冰蝎默认端口，也有版本是随机，但经典题目中常考50050或随机，若题目未明确特定版本，填50050或随机均可，但通常默认指50050）。38.HttpOnly39.FollowStream或快捷键Shift+Ctrl+F/在菜单中。填FollowStream即可。40.md5()41.binwalk或steghide。binwalk最通用。42.A解析：异或运算性质：A⊕43.gitcommit44.2545.SSRF(Server-SideRequestForgery)。46.TemplatesImpl(Fastjson反序列化利用链中的关键类)。47.PATH48.False49.25650.Wireshark第四部分：简答题51.答：区别：盲注：页面不会返回数据库的报错信息，也不会直接显示查询结果。攻击者只能通过页面的真假响应（如内容有无变化、HTTP响应时间长短）来推断数据库内容。报错注入：页面会将数据库执行的错误信息直接回显给前端。攻击者通过构造特殊的SQL语句，使得数据库报错，并在错误信息中携带想要查询的数据。常见函数/技巧：盲注：常用`substr()`/`mid()`截取字符串，配合`length()`判断长度，利用`ascii()`转换字符进行比较。时间盲注常用`sleep()`或`benchmark()`。布尔盲注常用`and1=1`/`and1=2`。报错注入：MySQL常用`extractvalue()`(XPath语法错误)、`updatexml()`、`floor(rand(0)*2)`(主键重复报错)。52.答：原理：unlink宏用于从双向链表中移除一个节点。在堆溢出中，如果我们能溢出覆盖到下一个堆块的头部（特别是fd和bk指针），我们可以伪造这两个指针。当该堆块被free时，会触发unlink操作，执行类似`FD->bk=BK`和`BK->fd=FD`的操作。利用过程：通过精心构造FD和BK的值（例如指向某个可控地址附近的指针），利用上述赋值语句（本质是`(FD+12)=BK`和`(BK+8)=FD`），可以将一个特定地址的值修改为另一个值，从而修改GOT表或Hook函数，实现控制流劫持。前提条件：1.能够进行堆溢出，覆盖相邻堆块的chunk头部。2.存在堆块被释放的场景，以触发unlink。3.旧版本glibc（如glibc2.23及以前）中unlink检查较宽松，或者能够绕过安全检查（即`P->fd->bk==P`和`P->bk->fd==P`）。53.答：LSB原理：LSB（LeastSignificantBit，最低有效位）隐写是将秘密信息嵌入到载体图像像素值的最低位中。由于像素值的最低位改变对人眼的视觉影响极小（例如数值从254变为255，颜色差异几乎不可见），从而实现信息的隐藏。提取方法：1.读取PNG图片的像素数据。2.遍历每个像素的RGB通道（通常是R、G、B，有时忽略Alpha通道）。3.提取出每个通道值的二进制表示的最后一位（0或1）。4.将提取出的二进制位序列每8位一组，转换为一个字节。5.将这些字节按顺序组合，并尝试转换为ASCII字符串或文件，即可得到隐藏的数据。54.答：密钥生成过程：1.随机选择两个不相等的大素数p和q。2.计算它们的乘积n=p×3.计算欧拉函数ϕ(4.选择一个整数e，满足1<e<ϕ(n)且e5.计算私钥指数d，使得d×e≡1(modϕ6.公钥为(n,e计算d的公式：d通常使用扩展欧几里得算法来求解。第五部分：综合分析与应用题55.解：(1)对n进行因数分解：n=尝试分解：≈56.8试除法：3233不能被2,3,5整除。试7：3233...试17：3233实际上，61×所以p=61,(2)计算欧拉函数：ϕ(3)计算私钥d并解密：已知e=17，求d满足17d使用扩展欧几里得算法：3120179反向代换：111所以−367d=解密m=（注：此处计算量较大，通常编程计算或使用简化计算，以下展示逻辑）由于m<经计算（或验证），m=验证：(mod=≡最终结果匹配c=答案：p=61,q=56.解：(1)漏洞类型：PHP反序列化漏洞。(2)作用：`__destruct()`是类的析构函数，在对象被销毁时自动调用。在此代码中，当`unserialize()`执行完毕，生成的`Flag`对象超出作用域被销毁时，会自动调用`__destruct()`。该方法内部调用了`include(th(3)构造Payload：目标是读取`flag.php`。直接include可能只执行PHP代码，我们需要读取源码，所以使用`php://filter`伪协议进行base64编码读取。Payload构造逻辑：```phpclassFlag{public$file="php://filter/convert.base64-encode/resource=flag.php";}$obj=newFlag();echoserialize($obj);```生成的序列化字符串大致为：`O:4:"Flag":1:{s:4:"file";s:57:"php://filter/convert.base64-encode/resource=flag.php";}`最终Payload：`O:4:"Flag":1:{s:4:"file";s:57:"php://filter/convert.base64-en