CTF小白新手导航（基础建议）

CTF入门路线（个人建议）

基于本人学习ctf的一点点入门经验（一点点嗷，本人也才刚刚刚入门），给一些想要入门的小伙伴一些资源的引路。

基础理论知识

​ 首先基础理论自不必多说，非常重要。我是看了一些这方面的视频来学习的。你只要在B站上搜索关键词"CTF"就可以收获大量相关视频。我自己跟的是“蚁景网安”的视频，我觉得挺不错的，就是好像网上没有直接现成的。这时候就祭出我们万能的某宝搜索“CTF”，你就能掌握很多质量不错的学习资源。

​ 这些资源呢，包括视频，CTF工具套装，还有一些书籍的PDF等。视频我建议可以直接开看了（当然，既然都走向了ctf相信不会是一点点基础都没有的吧，其实也还好，遇到不会的基础知识及时回去学就好了），CTF的工具记得放在win10虚拟机里，不然你的电脑会直接杀毒杀掉QAQ还有可能影响你的日常操作。kali是一个虚拟机，也是需要安装的，我个人就常备了win10 和kali两个虚拟机。

​ 至于那些书籍啊，你可以看看，但是基础阶段我觉得看起来也不太看的明白也枯燥乏味，反正我，不太爱看。

基础上手练习

看了理论之后想实操？那肯定就是选择靶场去玩儿啦！这里我推荐几个我接触到的靶场。

入门：

pikachu：(98条消息) pikachu 靶场搭建（完整版）_攀爬的小白的博客-CSDN博客_phpstudy快速搭建靶机

DVWA：(98条消息) DVWA靶场搭建完整流程_期待nila的博客-CSDN博客_dvwa靶场搭建

这俩是基于phpstudy搭建在本地的靶场，pikachu要容易一些，我建议新手小白无脑去pikachu玩。

hackinglab：网络安全实验室|网络信息安全攻防学习平台 (hackinglab.cn)

这一个是网络安全实验室的在线靶场，内容也是比较简单的，也很适合新手去入门，并且不需要配置等繁琐操作。

个人建议的难度顺序是：pikachu->hackinglab->DVWA

进阶：

等你觉得可以练习稍微难一点点的靶场的时候我就给你推荐BUUCTF

BUUCTF在线评测 (buuoj.cn)

这也是一个在线的靶场环境，里面除了有基础题还有很多比赛真题的环境，特别适合进阶一点的练习，而且题量也是十分丰富。

在线靶场_墨者学院 (mozhe.cn)

最后一个也是一个不错的靶场，不过练习这里面的习题需要一点点积分，它会送一些积分当然你练习的多可能也会需要花费一点点的园子。整体来说还是很不错的。

(98条消息) 全流程+讲解+避坑指南 第一次使用vulhub搭建漏洞环境_luluoluoa的博客-CSDN博客_vulhub

这个就厉害了，是kali上的靶场，emmm有兴趣的可以去试试。

选手训练营 - 网络安全竞赛|网络安全竞赛培训|信息安全竞赛培训-i春秋 (ichunqiu.com)

这个嘛，我不是很了解，但是这个很著名

如何刷题:

​ 如果是纯新手小白，拿到题目肯定是一脸懵逼的，（啊！这是什么东西？怎么就一个框框，题目怎么不告诉我要干嘛。啊？我该干啥啊，我不会搞了一个假的靶场吧，什么鬼东西？-----咳咳，以上不是我嗷）这个时候你就有必要首先看一下别人怎么解的，一般大家写多了之后看到题目名字和内容就知道是考什么的内容了。这个你不必担心，你只是需要一点点的经验。

​ 当你做不出来或者需要一些帮助时，我都建议你看看别人的解答，直接在CSDN上搜这个关的名字就行了。为了方便大家我也给出一些大佬的题解：

pikachu：(98条消息) pikachu漏洞平台通关系列导览（所有关卡已完结）_仙女象的博客-CSDN博客_皮卡丘漏洞平台
dvwa：(98条消息) DVWA全关教程手册_维梓梓的博客-CSDN博客_dvwa通关教程

​ 为啥我只推荐了这么两个，因为这个是合集全都有，其他靶场的也很多，但是大多都是零碎的，而且各有千秋，所以大家还不如自己写到一个题去单独搜这个题来的好。pikachu的这个题解是我很喜欢的，给大家强烈推荐。

​ 另外还有这个大佬：

(98条消息) CTFWeb-BUUCTF竞赛真题WriteUp(1）_Tr0e的博客-CSDN博客_ctf竞赛试题及答案

CTF杂项-BUUCTF竞赛真题WriteUp(2）_Tr0e的博客-CSDN博客_ctf竞赛试题及答案

​ 他的博客全是宝藏：从java到python到安全工具，很多博客都是极高质量的。我给大家炸裂推荐。
(98条消息) Tr0e的博客_CSDN博客-渗透测试,终端安全,编程开发领域博主

一定把他的博客从头翻一遍哦！能收获很多的。

实用工具

说起一些工具那可就太多了，各有各的好，光大家常用的都有很多很多。这里我挑一点点介绍。

在线网站类

解密工具网站：

CTF在线工具-CTF工具|CTF编码|CTF密码学|CTF加解密|程序员工具|在线编解码 (hiencode.com)

这个是用来加密解密的，算是大合集了，遇到什么解密就找他，当然也不是全都有，还是有它无能为力的题。

md5在线解密破解,md5解密加密 (cmd5.com)MD5解密不解释

HexEd.it - Browser-based Online and Offline Hex Editingemm，这就是个在线的hex查看器，但我比较少用。我用010Editor。

CyberChef这个这个太牛了！但是我也没玩明白，推荐大家自己上csdn搜把换这个玩会。

资源信息网站：

安全圈info - 做接地气的信息安全导航 (anquanquan.info)

FreeBuf网络安全行业门户

渗透师 网络安全从业者安全导航 (shentoushi.top)

这些嘛，新手看看就好…吧

CTF资源库|CTF工具下载|CTF工具包|CTF工具集合 (ctftools.com)

这个里面有很多大家需要用到的工具的下载，可以重点看看。

软件工具类：

1. burpsuite用来抓包的，更多介绍如下： Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手 工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得 测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite 的使用,也使得渗透测试工作变得轻松和高效。(98条消息) Burpsuite超详细安装教程_Oriental r0se的博客-CSDN博客_burp(98条消息) BurpSuite使用大全（详解）_一个懒鬼的博客-CSDN博客_burpsuite使用

​ 这个可以说是每个网络安全入门者必备的软件，没啥好说的，必须用必须弄懂！

1. sqlmap

[(98条消息) 工具使用]SqlMap_拈花倾城的博客-CSDN博客_msf sqlmap

这个是，一款自动化的SQL注入工具，其主要功能是扫描，发现并利用给定的URL的SQL注入漏洞。

1. Wireshark

(98条消息) 网络分析工具——WireShark的使用（超详细）_世间繁华梦一出的博客-CSDN博客_wireshark

也是抓包的，我比较少用啦。WireShark是非常流行的网络封包分析工具，可以截取各种网络数据包，并显示数据包详细信息。常用于开发测试过程中各种问题定位。

1. 010Editor

必备，(98条消息) 010editor安装与使用教程_洪荒少女66的博客-CSDN博客_010editor

1. 御剑

(98条消息) 御剑后台扫描工具下载、安装、使用教程_Sumarua的博客-CSDN博客_御剑后台扫描

(98条消息) 多年珍藏的55w御剑字典_weixin_33966095的博客-CSDN博客

这个御剑记得换个字典，自带的字典嘛，真不够用

1. 蚁剑/中国菜刀/冰蝎

(98条消息) 中国蚁剑(AntSword)安装、使用教程_丶没胡子的猫的博客-CSDN博客_antsword

(98条消息) Cknife(中国菜刀) and AntSword（中国蚁剑）使用_Deeeelete的博客-CSDN博客_cknife使用

(98条消息) 网站控制工具：冰蝎3.0使用体验_网安溦寀的博客-CSDN博客_冰蝎github

1. exeinfope

这个是用来对exe文件操作的
(98条消息) Exeinfo PE查壳工具_几番89的博客-CSDN博客_exeinfo pe怎么看有没有壳

1. Stegesolve

这个是对图片文件操作的

1. Ziperello

这个是对zip压缩文件暴力破解的

(98条消息) Ziperello——简介、安装_Starzkg的博客-CSDN博客_ziperello

1. QR_Research
2. hackbar（浏览器插件）

(98条消息) hackbar工具安装使用教程_julien_qiao的博客-CSDN博客_hackbar

相关书籍

这个就…也有不少，见仁见智了，某宝上一搜ctf就有了。至于PDF版本或者想便宜一点购入可以选择咸鱼。