# 🏷 > #猫咪推荐CTF #CTF-Web #Web安全 #CTF训练 #SQL注入 #漏洞利用 #渗透测试 #安全进阶 --- #### 官网地址：点我直达 <a href="https://fcmit.cc/" target="_blank" style="text-decoration: none; display: flex; align-items: center; justify-content: center; text-align: center;"> <img style="height: 8em; width: auto; margin-right: 10px; pointer-events: none; user-select: none;" src="https://fcmit.cc/lxkf3.png" referrerpolicy="no-referrer" alt="1.png"> </a> # 🔍 课程介绍>>>  # 🔍 课程分析>>> 是一套系统化的 Web 安全攻防训练营，从入门基础到进阶再到强化阶段，全面覆盖 Web 渗透测试、常见漏洞原理、利用方式与实际攻防技巧。课程目标是帮助学习者构建扎实的 Web 安全知识体系，具备 CTF 题解能力与实际 Web 安全分析与利用能力。 --- ## 知识点与技能 ### 🌱 入门阶段（Web 安全基础） - **Web安全概念与环境搭建**：理解 Web 安全目标、威胁模型，掌握基础实验环境与工具。 - **Web 渗透测试的灵魂：信息搜集**：掌握指纹识别、路径探测、资产收集等技巧，形成完整 checklist。 - **基础“黑魔法”意识**：理解常见客户端攻击（如恶意脚本注入）对 Cookie、会话、钓鱼等可能造成的危害。 ### 🔍 基础阶段（SQL 注入） - **SQL 注入原理**（显注、盲注、联合注入、报错注入等）：理解 SQLi 形成原因与各种类型特点。 - **显注 / 盲注 / 其他注入方式**：可根据页面回显、布尔条件、时间延迟等方式实施利用。 - **Union、堆叠注入、绕过技巧**：掌握 SQL 语句结构控制、WAF 绕过方法等。 - **SQLMap 使用与脚本编写**：学习自动化注入工具与自写脚本注入能力。 - **高级注入技巧**：GetShell、PostgreSQL/MongoDB 注入方式、不同数据库差异。 ### ⚔️ 进阶阶段（CTF 常见“简单”漏洞） - **命令执行漏洞（含 Bypass 技巧）**：理解命令拼接点、过滤绕过方式。 - **disable_function、openbase_dir 绕过**：熟悉 PHP 常见限制与突破方式。 - **ThinkPHP RCE 解析**：掌握框架漏洞分析方法。 - **文件上传漏洞体系**：前端绕过、MIME 绕过、Webshell 上传、防御策略。 - **文件包含漏洞**：LFI/RFI 原理、Session/环境变量技巧等。 ### 🛡 强化阶段（成为 Web 选手） - **反序列化漏洞（PHP / Phar / Laravel 等）**：理解反序列化链、POP 链构造方法。 - **SSRF 各类变体**：基础 SSRF、Gopher、Gophert SSRF、内网利用技巧等。 - **XXE / Blind XXE**：学习 XML 外部实体漏洞结构与利用方式。 - **模板注入（SSTI）**：掌握 Jinja2 等模板系统的代码执行漏洞利用。 - **前端安全**：XSS 进阶、CSRF、JSONP 误配置等浏览器端攻防。 - **Node.js 安全基础**：理解 Node.js 环境中的常见安全问题及利用方式。 --- ## 课程亮点 - **全体系结构明确（四大阶段）**：入门 → 基础 → 进阶 → 强化，与知识体系图一致，学习路径循序渐进。 - **每周主题明确且侧重“实战利用”**：如“显注与盲注方式”“disable_function 绕过”“Gopher SSRF”“MVC 框架漏洞分析”等。 - **大量 CTF 与真实环境结合的内容**（资料处处强调“深入理解”“实战方式”“绕过技巧”“脚本编写”）。 - **覆盖多框架多数据库多语言环境**：例如 ThinkPHP、Laravel、PHAR、PostgreSQL、MongoDB、Node.js。 - **专设“练习 + 总结”周**：如第十七周“补充与复盘”，有助于学习者消化吸收。 - **关注防御与安全意识**：不仅教攻击，例如文件上传模块包含“Nginx/Apache 配置绕过研究”。 - **适合人群明确**：课程资料末尾指出人群定位为“对 Web 安全感兴趣、掌握学习方法的入门新手”以及“期望成为 Web 主力选手”。 --- ## 结构化大纲 ### **阶段一：入门——初入 Web 安全世界** **第1周：Web安全概览、环境配置与工具介绍** - Web 安全方向认识；实验环境搭建；常用工具学习。 **第2周：Web 渗透测试的灵魂：信息搜集** - 信息搜集方法、指纹识别、信息链构造。 **第3周：让开发者和新手惊讶的“PHP黑魔法”** - 用户端访问恶意页面后的安全风险、脚本攻击示例。 --- ### **阶段二：基础——带你16小时玩转 SQL 注入** **第4周：SQL 注入基础（一）原理与回显注入** - SQLi 原理、字符型/数字型注入等。 **第5周：SQL 注入基础（二）非回显注入方式** - 布尔盲注、时间盲注等。 **第6周：SQL 注入基础（三）其他注入方式** - INSERT、UPDATE、DELETE 注入。 **第7周：SQL 注入基础（四）使用工具进行注入** - SQLMap 安装与使用；编写可复用脚本。 **第8周：SQL 注入进阶（一）Union 注入、堆叠注入和绕过技巧** **第9周：SQL 注入进阶（二）GetShell 方式与 PostgreSQL 注入基础** **第10周：SQL 注入进阶（三）PostgreSQL 与 MongoDB 注入** **第11周：SQL 注入进阶（四）注入技巧与思路拓展** --- ### **阶段三：进阶——深入探讨 CTF 中常见的“简单”漏洞** **第12周：命令/代码执行（一）原理和基础知识** **第13周：命令/代码执行（二）Bypass 技巧** **第14周：命令/代码执行（三）disable_function 与 openbase_dir 绕过** **第15周：命令/代码执行（四）ThinkPHP RCE 漏洞讲解** **第16周：文件上传（一）原理、常见绕过及环境搭建** **第17周（特训周）：文件上传（二）补充与实操** **第18周：文件包含（一）原理与基础知识** **第19周：文件包含（二）一览包含技巧** --- ### **阶段四：强化——迈向主力 Web 选手之路** **第20周：反序列化漏洞（一）原理、基础知识和 POP 链** **第21周：反序列化漏洞（二）Phar 反序列化字符逃逸** **第22周：反序列化漏洞（三）ThinkPHP 反序列化分析** **第23周：反序列化漏洞（四）Laravel 反序列化链挖掘** **第24周：SSRF（一）原理与基础利用** **第25周：SSRF（二）Soap 类 SSRF、Gopher SSRF 中转技巧** **第26周（待续）：XXE（一）原理基础与基础利用** **第27周（待续）：XXE（二）Blind XXE 利用思路解析** **第28周（待续）：SSTI——模板注入漏洞** **第29周：前端安全（一）同源策略与防御** **第30周：前端安全（二）XSS 原理、例题与进阶讲解** **第31周：前端安全（三）CSRF 与 JSONP 安全问题** **第32周（待续）：Node.js 环境安全** --- ## 适合人群 ### 适用人群 - **对 Web 安全感兴趣并愿意系统学习的入门新手** - **希望成为具备实战能力的 Web 主力选手** - **准备参加 CTF 网络安全竞赛的学习者** ### 可能的先修要求 - **具备基本计算机操作能力**（课程含环境搭建与脚本） - **对 Web、HTTP 有基础认知更佳** - **未要求编程基础，但学习中涉及脚本与漏洞调试，具备基础编程更有利** ### 不适合人群（资料暗示） - **不愿投入系统学习、仅想“合格”级别而非进阶的学习者**（图示明确“不甘于『合格』”） --- # ☁️ 网盘目录（仅展示部分目录）>>>   ## 📚🛠️ 课件工具展示