CTF理论考核题及答案

中哪一部分是扩展名A、readmeB、readme.C、.txtD、参考答案：C2.关于html语言，描述错误的有A、html语言不区分大小写B、浏览器可以直接解释执行html代码C、浏览器无法执行html页面中的js脚本D、HTML是用于创建网页的一种标记语言参考答案：C3.如果页面提示，不能上传php文件，那么使用扩展名绕过方式上传文件的话，下列那种方式不能上传成功（）A、、、、参考答案：A4.关于文件上传漏洞以下说法正确的是（）A、content-Type检测文件类型绕过原理是服务器对上传文件的content-Type类型进行检测，如果是白名单允许的则可以正常上传，否则上传失败B、绕过content-Type文件类型检测的方法可以用BurpSuite截取并修改数据包中文件的content-Type类型使其符合白名单的规则C、文件系统00截断绕过将文件名改成，服务器只要验证该扩展名符合服务器端黑白名单规则即可上传。D、文件系统00截断绕过是当文件系统读到00时，会认为文件已经结束。参考答案：ABD5.下列关于linux文件夹权限中“rw-”描述正确的是？（）A、有执行、读权限，无写权限B、有读、写权限，无执行权限C、有读权限，无写、执行权限D、有写权限，无读、执行权限参考答案：B6.下列关于http请求描述正确的是（）A、当请求包含机密信息的话，使用get方式比post方式更安全B、http请求头中的Host字段用于指定被请求资源的主机和端口号C、http响应头中的content-type字段显示客户端实际返回内容的类型D、http状态码403含义是服务器收到请求，但是拒绝提供服务参考答案：BCD7.在Linux系统中,哪一个是管道符()A、>B、

8.9.10.11.12.13.14.D、:参考答案：C以下哪个不属于关系型数据库？（）A、MySQLB、SQLserverC、oracleD、MongoDB参考答案：D下列关于MySQL数据库操作命令描述正确的有？（）A、DROPDATABASE用于删除数据库B、truncatetable用于清空某数据表中的数据C、desc用于显示数据库下的所有数据表D、createtable用于创建数据库参考答案：AB数据库服务器、数据库和表的关系，正确的说法是？（）A、一个数据库服务器只能管理一个数据库，一个数据库只能包含一个表B、一个数据库服务器可以管理多个数据库，一个数据库可以包含多个表C、一个数据库服务器只能管理一个数据库，一个数据库可以包含多个表D、一个数据库服务器可以管理多个数据库，一个数据库只能包含一个表参考答案：B以下关于CTF赛事描述正确的有（）A、CTF赛事主要是程序设计领域的一种竞赛模式的统称B、解题模式常见于CTF比赛线上选拔C、攻防模式常见于CTF比赛线下决赛D、CTF赛事起源于DEFCON全球黑客大会参考答案：BCD下列关于ASCII码描述正确的有（）A、大写字母与小写字母都是连续编码B、小写字母的码值比任意的大写字母码值都大C、ASCII码能够对汉字进行编码D、ASCII码有可打印字符和不可打印字符之分参考答案：ABD“Y3Rme2l0J3MgfQ==”可能是以下哪一种编码？（）A、BASE64B、BASE32C、BASE16D、摩斯码参考答案：A以下内容解码输出的结果为（）98W1F>VET)W,@9G5N+&-H:6=O?0``A、ctf{it'sfun}B、ctf{it'sfun,chigo}C、ctf{it'snotfun}D、ctf{it'snotfun,chigo}

15.16.17.18.19.20.21.参考答案：B佛曰：罰耶俱竟婆勝夷漫缽老奢明老是跋曳想梵夜即室梵羯死不穆俱爍都罰波呐蘇呼皤得俱訶呐特呼苦哆若怯迦。请参悟佛的真意（）A、ilovectfB、ctf{it'sfun}C、ctf{it'snotfun}D、我无法参透佛的真意参考答案：D请将以下内容解码（结果：ctf{***}）（）MN2GM63CMFZWKMZSPU======A、ctf{base32}B、ctf{base64}C、ctf{base16}D、以上都不对参考答案：A下列关于ctf密码学描述不正确的有（）A、ctf密码学可以分为古典密码学和现代密码学两大类B、古典密码学中的单表替换加密方式可以用词频分析法破解C、现代密码学相比古典密码学加密效果更好，因此任何情况下都无法被破解D、DES、AES、RSA属于现代密码学中的算法参考答案：C下列关于维吉尼亚密码描述正确的有（）A、属于单表替换B、明文需要通过秘钥加密C、明文和密文有一一对应关系D、维吉尼亚密码无法破解参考答案：B以下内容的解码结果是（）666c61677b6374666973736f656173797dA、flag{ctfissoeasy}B、flag{ctfiseasy}C、flag{ctfeasy}D、flag{ctfsoeasy}参考答案：A以下关于RSA算法描述错误的有（）A、RSA算法属于对称加密算法B、RSA加密秘钥和解密秘钥是不同的C、RSA算法的设计主要是基于大整数因式分解非常困难D、RSA算法在某些特殊情况下依然可以被人工破解参考答案：A听说你对键盘很熟悉，能解出来这一串字符的结果吗（）xdfvr56ydrgawdgyjqwse45tsefA、ctfsohard

22.23.24.25.26.27.B、ctfsocoolC、ctfsofunD、ctfsonice参考答案：A10进制数9279可以分解为两个质数的乘积，你能手工算出来吗？（）A、41497067*8476985936429195377B、41497063*8476985936429195373C、41497047*8476985936429195367D、41497061*8476985936429195379参考答案：A以下属于RSA算法攻击方式的有（）A、小公钥指数攻击B、共模攻击C、低解密指数攻击D、N分解攻击参考答案：ABCD以下属于SQL注入类型的有？（）A、基于联合查询的注入B、基于报错的注入C、基于时间的盲注D、基于布尔的盲注参考答案：ABCDSQL注入中orderby子句的功能是（）A、查字段数B、查表名C、查数据库名D、查表数参考答案：A通过information_schema表得到sec数据库中所有数据表名字的查询语句为（）A、selecttable_namefrominformation_wheretable_schema='sec'B、selecttable_namefrominformation_wheredatabase='sec'C、selectculumn_namefrominformation_wheretable_schema='sec'D、selectcolumn_namefrominformation_wheredatabase='sec'参考答案：A以下关于burpsuite描述正确的有（）A、burpsuite是用于攻击web应用程序的集成平台B、burpsuite中的Proxy模块可以拦截、查看、修改http请求和响应包，且无需设置代理C、burpsuite中的Scanne模块能自动地发现web应用程序的安全漏洞

28.29.30.31.32.33.34.D、burpsuite中的Repeater模块允许用户手动操作补发HTTP请求并分析应用程序响应参考答案：ACD以下可以实现弹窗的js代码有（）A、B、C、D、参考答案：ABCD以下python代码执行的结果为：（）foriinrange(0,10):print(i)A、打印出0-9这10个数字B、打印出0-10这11个数字C、打印出0和10这2个数字D、打印出0这1个数字参考答案：A以下能绕过js验证的是（）A、禁用JS功能B、中间人攻击C、重启电脑D、重新加载页面参考答案：AB以下不属于文件上传漏洞利用方式的是（）A、绕过前端JS验证上传B、数据包type绕过上传C、文件扩展名绕过上传D、修改文件内容参考答案：D关于linux中vim编辑器说法正确的是（）A、vim与vi完全相同B、vim有4种模式C、vim有3种模式D、vim有2种模式参考答案：C以下关于linux命令说法正确的是？（）A、cat命令可查看文件内容B、touch可以创建文件夹C、cp可以删除文件D、rm可以创建文件参考答案：ACTF中文一般译作______在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。（）A、抢手赛

35.36.37.38.39.40.41.B、争夺赛C、锦标赛D、夺旗赛参考答案：DTCP／IP参考模型中，应用层协议常用的有（）A、TELNET，FTP，SMTP和HTTPB、IP，FTP，SMTP和HTTPC、TELNET，FTP，SMTP和TCPD、IP，FTP，DNS和HTTP参考答案：AURL只允许用_____字符集中可打印的字符(0×20—0x7x)，其中某些字符在HTTP协议里有特殊的意义，所以有些也不能使用。（）A、UTF-8B、ASCIIC、UnicodeD、Littleendian参考答案：B命令createtablestudent(idintprimarykey,namechar(50)notnull,sexchar(2),mailchar(50))中，哪一个字段是主键？（）A、idB、nameC、sexD、mail参考答案：A整形报错注入如何判断显示位？（）A、groupbyB、limit0,1C、无显示位D、select1,2,3参考答案：D以下对于SQL注入的说法错误的是？（）A、SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序B、SQL注入攻击方法复杂，危害又极小，所有在owasp中不占主要地位C、SQL注入可以在未经授权状况下操作数据库中的数据D、程序员水平和经验欠缺，对SQL注入不重视往往是SQL注入攻击的来源之一参考答案：Bphpinfo是什么文件（）A、存放着一些PHP函数。B、存放着一些网站数据库文件。C、存放着PHP一些具体配置信息。D、存放着一些PHP代码参考答案：C下列软件工具中不属于逆向破解软件工具的是？（）

42.43.44.45.46.47.A、OllyDbgB、IDAC、SublimeText3D、WinDbg参考答案：C关于编程语言的描述，错误的是（）A、java、python、php、C语言都属于高级语言B、高级语言需要经过编译、链接后才能被计算机执行C、计算机可以直接识别并执行高级语言D、计算机所能识别的语言只有机器语言，即由0和1构成的代码参考答案：C以下PHP代码的输出结果是（）A、若当前时间小于20，程序将会输出helloB、若当前时间超过20，程序将会输出helloC、程序会输出hello，无论当前时间多少D、程序不会输出hello，无论当前时间多少参考答案：A关于php语言的描述，错误的是（）A、PHP是一种通用开源脚本语言B、PHP文件可包含文本、HTML、JavaScript代码和PHP代码C、PHP文件的默认文件扩展名是".php"D、PHP代码可以通过浏览器直接解释执行参考答案：D关于php函数，错误的是（）A、mysqli_connect()功能是打开一个到MySQL服务器的连接B、mysqli_error()功能是返回最近调用函数的最后一个错误描述C、mysqli_query()功能是执行某个针对数据库的查询D、mysqli_select_db()功能是返回当前系统状态参考答案：D关于http和https协议，描述错误的是（）A、双方都用于浏览器和服务器之间的通信B、HTTP协议以明文方式发送内容，不提供任何方式的数据加密C、HTTPS在HTTP的基础上加入了SSL协议，依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密D、https协议更加安全，可以对黑客攻击免疫参考答案：D请将以下内容解码（格式：flag{***}）（）

%61%6c%66%7b%67%79%72%63%74%70%72%67%6f%70%61%69%5f%79%5f%73%73%61%65%7d%79A、flag{cryptograpy_is_easy}B、flag{cryptograpyiseasy}C、flag{cryptograpy_so_easy}D、flag{cryptograpysoeasy}参考答案：A48.以下关于隐写术，描述不正确的是（B）A、文本、图片、音频、视频都可以作为隐写的载体B、追加插入指的是在文件的起始部分增加新的内容C、替换隐藏通过修改字节或调整字节位置实现数据隐藏D、jpeg文件的批注区可以进行数据隐藏参考答案：B49.以下不属于图片隐写解题常用工具的是（）A、BinwalkB、StegsolveC、zstegD、IDA参考答案：D50.栅栏被捣乱了！第一根和第二根都被换了位置，只有第三根还能站在那，却也短了一截了。变成了这样：nZWRfbXlfZnVuemZmxhZ3tJX0NoYW5N1X2x1Y2t5IX0=谁能帮我修好呢？（）A、flag{I_Changed_my_funzcu_funny!}B、flag{I_Changed_my_funzcu_lucky!}C、flag{I_Changed_my_funzcu_great!}D、flag{I_Changed_my_funzcu_easy!}参考答案：B