明天打比赛了，写一些宏观的东西

纯给自己看（可以直接划走了）

web题目的做题思路

在ctf中，目标就是读取敏感信息，也就是flag字符串，这个字符串可能会存在目标主机的某个文件中，也可能存在数据库中，也可能存在于某些高权限、内网的其他位置

第一步：

所以拿到题目后，第一件事情就是要判断，判断利用的漏洞方式为读取，写入还是执行。

具体细节不深究，后面我们遇到每个web题目，都先进行这个判断，但是有些时候，并不能马上确定，我们就从低到高，依次挖掘

即先找文件读取，再找文件写入，再找命令执行

这一步先大概确定出最终要拿到的权限，确定渗透方向

第二步：

判断漏洞大概的类型，或者题目大概的考点，比如，有登录逻辑，就尝试sql注入，有下载逻辑就尝试文件读取，给了源码就做代码审计等等。

这一步确定具体的利用思路，实现漏洞利用

第三步：

寻找敏感数据，拿到最终flag