* 做題邏輯：

根據分值來判斷題目難易程度，在有限時間裏可以舍棄認為有坑或者做不出的題目，如果隊伍中某個人有信心能夠做出最高分的題，可以給他足夠多的時間先做分值高的題，畢竟高分題拉分，分值低的題到後面不會浪費很多時間，但是如果比賽規定第一名做出的人有加分，那肯定先搶低分題。

* 準備工具：

掃描器（CTF需要的是足夠多的信息收集，出題人不會讓你花很長時間掃描，可能在題目中會有提示，掃描以小型掃描器為主，一個人使用大型掃描器），burpsuite，sqlmap，菜刀，python。

*  一些思路：

1. 查看源碼，在CTF裏面是最重要的方式之一，是基礎
2. HTTP協議
3. HTTP頭修改，包括IP地址，瀏覽器信息（有時候題目只允許使用某瀏覽器）來源
4. sqlmap的tamper要了解，一般比賽waf關鍵字不會很難，常規繞過，輸入關鍵字符select等，可以大小寫轉換，url編碼，能用盲註的肯定可以用報錯註入，報錯註入的payload可以在網上先記下來。
5. robots.txt文件
6. 掃描不要占用很長時間
7. 可以多帶一個電腦，插線板，網線
8. 一般CTF用古典型加密，帶一個識別密文的工具
9. 返回包的響應頭可能有提示信息
10. burp裏面提交某數據，可以是get，post或者在頭部字段
11. php審計，php大部分是函數漏洞
12. 關註最新漏洞
 

大概就是醬紫，還木有實踐過，不能保證都是正確的，有問題歡迎指正~~~
最近也報名了某ctf比賽，先試試水。
另外要是有什麽好的學習ctf的網站或者資料歡迎分享哇ο(=?ω＜=)ρ⌒☆

CTF筆記【一】