2023最全CTF入门指南(建议收藏)

2023最全CTF入门指南(建议收藏)

首页角色扮演代号星辰更新时间:2024-04-26
一、CTF简介

CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。

二、CTF竞赛模式三、CTF各大题型简介

四、CTF学习路线4.1、初期

刚刚走进大学,入了web安全的坑,面对诸多漏洞必然是迷茫的,这时的首要任务就是打好网站开发的基础,曾有伟人说过-“自己不会做网站,何谈去找网站的漏洞”,在学习漏洞前,了解基本网站架构、基础网站开发原理,基础的前后端知识,能够让你之后的漏洞学习畅通无阻。

1、html css js(2-3天)

前端三要素 html、css、js是被浏览器解析的代码,是构成静态页面的基础。也是前端漏洞如xss、csrf的基础。

☆重点了解html和js

推荐学习资料:

能力要求:

2、apache php (4-5天)

推荐使用phpstudy来进行傻瓜式安装,可以少走很多弯路。通过apache php体会一下网站后端的工作,客户端浏览器通过请求apache服务器上的php脚本,php执行后生成的html页面返回给浏览器进行解析。

☆重点了解php

推荐学习资料:

能力要求:了解基本网站原理,了解php基本语法,开发简单动态页面

3、mysql (2-3天)

之前已经安装的phpstudy可以轻易的安装mysql。mysql是一款典型的关系型数据库,一般来说,大部分网站都会带有数据库进行数据存储。

☆重点了解sql语句

推荐学习资料:

能力要求:

4、python (2-3天)

虽然 “php是最好的语言”,但它主要还是应用在服务端做网站开发,我们搞安全经常需要写一些脚本或工具来进行诸如密码爆破、目录扫描、攻击自动化等操作,需要一个方便且趁手的编程语言,这里我推荐python

重点学习requests、BeautifulSoup、re这三个库

推荐学习资料

能力要求:

5、burpsuite (1-2天)

web安全的工具很多,但我觉得必备的渗透工具还得是它

重点学习Proxy、Repeater、Intruder三个模块,分别用于抓包放包、重放包、爆破

初步使用即可,在中期的漏洞学习中去逐渐熟练它

推荐学习资料

能力要求:

4.2、中期

此时我们对网站已经不再陌生,能够自己动手完成一个简单站点。但我们写出来的代码真的安全吗?进入中期,我们便要开始着眼经典漏洞的学习。

一个漏洞的学习,要搞明白三点(每学完一个漏洞就问自己这三个问题):

1、sql注入(7-8天)

我们web狗学习的第一个漏洞一般都是SQL注入,它是web安全经典中的经典,也是在这里被灌输 “永远不信任用户的输入” 的口号,即使是现在sql注入也依旧存在,并且它还在不断衍生出如nosql注入、ORM注入等,可谓防不胜防。

推荐学习资料:

能力要求:

2、文件上传(7-8天)

webshell是可以进行代码执行的木马

而文件上传其实就是想办法把webshell上传到目标的服务器上去并成功解析,达到控制目标服务器的目的,这也是web安全的一个重点内容

推荐学习资料

能力要求:

3、其他漏洞(14-15天)

以上两个漏洞是我认为一个初学者最应该掌握也是最典型的漏洞,涵盖了代码执行、文件操作、数据库操作等web应用的主体内容。然而web安全的世界还有很多的漏洞需要你去探索,不过学会了这两种漏洞的你去学其他漏洞定然是游刃有余,不会像刚开始那么困惑了。

以下四个为中期要掌握的漏洞

4.3、后期

此时的你熟悉了web安全几个核心的漏洞,并且有了一些ctf题目的练习经验,已经是一个合格的ctfer了。恭喜你。成功入门web安全。后续的学习方法或许该由你自己决定,我在此只给一些建议。

多多参与CTF赛事

参与当下举行的ctf赛事是最好的学习方法之一,即使是初学者也能够找到一些适合自己能力的赛事,比如极客大挑战、UNCTF、各个大学的新生赛等等都是不错的选择,在比赛中去发现自己知识的不足,然后去针对的补充这部分知识,是很好的学习循环,无需迷茫的去到处获取知识,而是在需要时去学习。

Tips: 或许有人觉得直接刷题是一样的,但完全不是,当下比赛中的题往往更加前沿和流行,你可以找到当下的ctf题目趋势,紧跟技术热点,而且可以多多融入ctf竞技的氛围中,成长的更快。

多多看其他师傅的博客

打完ctf比赛的你肯定是想看writeup(答案)的,一般来说赛后过几天就会有很多师傅发出他的writeup,从比赛群、百度等途径都可以找到。多多看看其他师傅的解题思路,关注几个大牛,看看他们发的技术文章,都是很好的学习方法。

五、CTF学习资源5.1、CTF赛题复现平台
  1. 拥有大量比赛的复现环境
  2. 国内较早使用动态靶机的CTF复现平台·定期举办各类公开赛
  3. 提供平台开源环境·较全的比赛Writeup
  1. 各类比赛历年真题
  2. 较为体系化的技能树
  3. 较全的CTF工具集
  4. 较全的赛事日历
  5. 较全的比赛WriteUp
  1. 国内较早的CTF复现平台(在buu和ctfhub还没火的时候bugku很有名)·较为基础的题目
  2. 较全的WriteUp
  1. 适合Pwn新手入门题目较为友好
5.2、赛事与资讯
  1. 国际最顶尖的CTF赛事
  2. 主赛事 外卡赛
  3. 决赛与DEF CON同期举办
  1. 较全的国际CTF赛事信息·
  2. 较全的CTF战队信息·
  3. 较为权威的CTF战队排名。
  4. 各大赛事WriteUp
  5. 各大赛事日历
  1. 前面说过不重复讲了
  1. 国内较早的CTF联赛
  2. 国内第一个出海办比赛的CTF赛事·
  3. 在国际上具有一定知名度
  4. 部分学校可以加分甚至保研

各类赛事太多了,这里没法——罗列,大家前期可以刷一些校赛和小比赛,进阶刷i春秋、XCTF,后期直接刷CTFTime各类国际赛

5.3、博客与论坛5.4、书籍推荐
  1. CTF竟赛中的进阶知识.
  2. CTF竟赛中的优质题目·
  3. 较全的学习路径
  4. 完全开源,可以离线化部署
  1. Nu1L占战队编著
  2. 覆盖了CTF各方向学习路径。
  3. 团队协作与管理经验分享
  1. FlappyPig编著
  2. 常见CTF题型解题方法·
  3. 各种竞赛模式技巧
  1. Web入门经典书籍
  2. 适合Web方向在学习CTF之前看
  1. 逆向入门必看书籍·
  2. 源自实战、指导实战.
  3. 买就完了
六、最后

学之前的思考:分析赛题情况

常规做法

其实Misc所有人都可以做

恶补基础知识&信息安全专业知识

推荐图书:

A方向:

B方向:

查看全文
大家还看了
也许喜欢
更多游戏

Copyright © 2024 妖气游戏网 www.17u1u.com All Rights Reserved