Todos los CTF tienen pruebas en común, te puedes encontrar pruebas de analísis de tráfico de red, escaneo de puertos para determinar donde puede estar la pista del reto conectándote al puerto indicado, esteganografía para detectar mensajes ocultos, criptografía sobre todo cosas sencillitas como un simple XOR o uso de hashes comunes (MD5, SHA1-2). También has de controlar el protocolo HTTP para ver las headers de request/response y algo de javascript (Aunque sea un poquillo), pues normalemente has de obtener la cookie del admin o bien encontrar una falla por la que saltarte validaciones y llegar al siguiente nivel. Además de incluirse pruebas relacionadas con la explotación de bases de datos (SQL-Injection) para obtener la info para pasar al siguiente nivel.

Comentaste sobre ing. inversa, bueno, no es tan común pedir conocimientos en la misma, pero puede darse el caso que en las últimas pruebas del CTF se pida encontrar la pista o la solución dentro de un binario. También a los organizadores les gusta jugar con las direcciones .onion encontradas en TOR, en fin lo suyo es que apuntes estos temas en algún sitio y busques programas/software que realicen estas tareas sin tener que hacerlas tu a mano, aunque siempre te tocará darle tu toque mágico.

Saludos.