# 🏷 > #猫咪推荐CTF #CTF-Web #AWD #Web安全 #SQL注入 #WAF绕过 #文件上传 #文件包含 #命令执行 #SSRF #SSTI #XSS #PHP反序列化 #代码审计 #Nodejs安全 #Java反序列化 --- #### ⬇️获取课程⬇️ <a href="https://fcmit.cc/" target="_blank" style="text-decoration: none; display: flex; align-items: center; justify-content: center; text-align: center;"> <img style="height: 8em; width: auto; margin-right: 10px; pointer-events: none; user-select: none;" src="https://fcmit.cc/lxkf3.png" referrerpolicy="no-referrer" alt="1.png"> </a> # 🔍 课程介绍>>> 围绕 **CTF Web 方向与 Web 漏洞实战** 展开,从 Web 环境、工具、PHP/Python/JavaScript/Linux/网络协议等基础开始,逐步进入文件包含、文件上传、SQL 注入、命令执行、SSRF、XXE、SSTI、反序列化、XSS、代码审计等核心考点,并延伸到 PHP、Node.js、Java 相关进阶漏洞链与绕过思路。 ## 知识与能力图谱 |模块|覆盖课时|知识重点|能力目标|训练方式 / 产出| |---|--:|---|---|---| |Web 入门环境与基础工具|1-2|Web 环境搭建、Web 工具使用|建立基础实验环境,熟悉常用工具|环境搭建、工具操作| |编程与系统基础|3-7|PHP、Python、JavaScript、Linux、网络协议|看懂 Web 题目与漏洞代码的基础结构|语言基础讲解、命令讲解| |HTTP 与 PHP 特性|8-10|HTTP 请求、PHP 特性、信息泄露|理解 Web 请求过程与常见信息暴露点|原理讲解| |文件包含与文件上传|11-14|文件包含、伪协议、文件上传、WAF 绕过|掌握文件类漏洞的利用逻辑与绕过方向|原理解析、绕过练习| |SQL 注入系统训练|15-33|SQL 环境、基础操作、联合查询、报错注入、布尔盲注、时间盲注、宽字节、符号绕过、读写文件、SQLmap|建立完整 SQL 注入题型处理能力|环境实践、注入类型训练、工具使用| |命令执行与 SSRF|34-37|命令执行、RCE WAF 绕过、SSRF 原理与绕过|识别并处理服务端执行与请求伪造类题目|基础介绍、绕过训练| |XML / XXE / SSTI|38-43|XML 基础、实体注入、Python/PHP SSTI、SSTI WAF 绕过|掌握模板注入与 XML 实体注入类考点|基础讲解、攻防讲解、绕过思路| |反序列化与 XSS|44-49|PHP 反序列化、字符串逃逸、XSS、WAF 绕过、CSP 绕过|理解对象反序列化与前端脚本类漏洞|原理讲解、绕过讲解| |PHP 代码审计与 CMS 实战|50-51|PHP 依赖库代码审计、PHP CMS 代码审计|从源码中定位漏洞点与利用路径|技巧流程、实战| |CTF-Web 专项考点|52、59-62|CTF 案例、CBC 翻转、Padding Oracle、逻辑漏洞、JWT、ERB 模板注入|面向比赛题型建立专项解题思路|试题案例、考点讲解| |PHP 进阶利用链|53-58、63-65、70-72|Session、PHP-FPM、open_basedir、disable_function、Phar、SQL 到 getshell、RCE 进阶、无参数 RCE、PHP 原生函数|处理 PHP Web 题中的限制绕过与进阶利用|基础讲解、绕过思路、进阶案例| |Node.js 与 Java 方向|66-69、73-74|Node.js 基础、Node SSRF、原型链污染、VM 沙箱逃逸、Java 反序列化、Tabby 半自动化挖掘 URLDNS 链|扩展到非 PHP 技术栈的 Web 安全题型|基础讲解、漏洞链挖掘| ## 深度亮点剖析 - **SQL 注入训练非常细**:从环境搭建、基础操作到多种注入类型、绕过方式、读写文件和 SQLmap,形成连续训练链。 - **绕过能力占比高**:文件上传、命令执行、SSRF、SSTI、XSS、RCE 等多个模块都设置了 WAF 绕过或限制绕过内容。 - **PHP Web 方向覆盖最深**:PHP 特性、反序列化、Session、PHP-FPM、Phar、open_basedir、disable_function、原生函数均有独立课时。 - **兼顾 CTF 题型与代码审计**:既有 CTF 试题案例、专项考点,也有 PHP 依赖库与 CMS 代码审计实战。 - **后段进入多语言漏洞链**:从 PHP 扩展到 Node.js 原型链污染、VM 沙箱逃逸、Java 反序列化与 Tabby 半自动化挖掘。 ## 行业/专业背景溯源 |术语|课程内呈现方式| |---|---| |CTF Web|课程标题与多个“CTF-Web考点讲解”“CTF试题案例”直接指向比赛型 Web 安全题训练| |AWD|出现在课程总标题中,但课时目录主要展开的是 Web 漏洞与 CTF-Web 考点| |WAF 绕过|多次出现在文件上传、命令执行、SSRF、SSTI、XSS 等模块中,是课程的核心训练线之一| |SQLmap|作为 SQL 注入模块末尾的工具使用课出现| |代码审计|以 PHP 依赖库代码审计、PHP CMS 代码审计实战呈现| |反序列化|分布在 PHP、Session、Phar、Java 等多个课时中,是进阶漏洞链重点| |Tabby|出现在 Java 反序列化课时中,用于“半自动化挖掘新 URLDNS 链”| ## 课程定位判别 这是一门 **CTF Web 入门到进阶的专项实战课**,重点偏 Web 漏洞利用、绕过、代码审计与 CTF 题型训练。 前半段从环境、语言、Linux、协议和 HTTP 开始,说明它并非只面向已有基础的人。中段大量展开 SQL 注入、文件上传、命令执行、SSRF、SSTI、反序列化等主流 Web 考点,训练密度较高。后段涉及 Phar、无参数 RCE、Node.js 原型链污染、VM 沙箱逃逸、Java 反序列化和 Tabby,明显进入进阶利用链层面。 ## 适合什么人看 - 想系统学习 **CTF Web 方向** 的入门到进阶学习者 - 已接触 Web 基础,希望补齐漏洞题型与绕过思路的人 - 想强化 SQL 注入、文件上传、反序列化、SSTI、SSRF、XSS 等考点的人 - 对 PHP 代码审计、CMS 审计、PHP 进阶利用链感兴趣的人 - 想从 PHP Web 扩展到 Node.js、Java 反序列化方向的人 ## 结构化课程标签 # ☁️📚🛠️ 网盘目录(仅展示部分目录)>>> <div class="link-preview-window" style="width:100%; max-width:100%; height:600px; margin:16px 0; overflow:hidden; border-radius:8px;"> <iframe src="https://wp.fcmit.cc/@s/qTIVUkEw" style="display:block; width:100%; height:100%; border:0;"></iframe> </div>