0


CTF小白新手导航(基础建议)

CTF入门路线(个人建议)

基于本人学习ctf的一点点入门经验(一点点嗷,本人也才刚刚刚入门),给一些想要入门的小伙伴一些资源的引路。

基础理论知识

​ 首先基础理论自不必多说,非常重要。我是看了一些这方面的视频来学习的。你只要在B站上搜索关键词"CTF"就可以收获大量相关视频。我自己跟的是“蚁景网安”的视频,我觉得挺不错的,就是好像网上没有直接现成的。这时候就祭出我们万能的某宝搜索“CTF”,你就能掌握很多质量不错的学习资源。

​ 这些资源呢,包括视频,CTF工具套装,还有一些书籍的PDF等。视频我建议可以直接开看了(当然,既然都走向了ctf相信不会是一点点基础都没有的吧,其实也还好,遇到不会的基础知识及时回去学就好了),CTF的工具记得放在win10虚拟机里,不然你的电脑会直接杀毒杀掉QAQ还有可能影响你的日常操作。kali是一个虚拟机,也是需要安装的,我个人就常备了win10 和kali两个虚拟机。

image-20220831082438349

​ 至于那些书籍啊,你可以看看,但是基础阶段我觉得看起来也不太看的明白也枯燥乏味,反正我,不太爱看。

基础上手练习

看了理论之后想实操?那肯定就是选择靶场去玩儿啦!这里我推荐几个我接触到的靶场。

入门:

pikachu:(98条消息) pikachu 靶场搭建(完整版)_攀爬的小白的博客-CSDN博客_phpstudy快速搭建靶机

DVWA:(98条消息) DVWA靶场搭建完整流程_期待nila的博客-CSDN博客_dvwa靶场搭建

这俩是基于phpstudy搭建在本地的靶场,pikachu要容易一些,我建议新手小白无脑去pikachu玩。

hackinglab:网络安全实验室|网络信息安全攻防学习平台 (hackinglab.cn)

这一个是网络安全实验室的在线靶场,内容也是比较简单的,也很适合新手去入门,并且不需要配置等繁琐操作。

个人建议的难度顺序是:pikachu->hackinglab->DVWA

进阶:

等你觉得可以练习稍微难一点点的靶场的时候我就给你推荐BUUCTF

BUUCTF在线评测 (buuoj.cn)

这也是一个在线的靶场环境,里面除了有基础题还有很多比赛真题的环境,特别适合进阶一点的练习,而且题量也是十分丰富。

在线靶场_墨者学院 (mozhe.cn)

最后一个也是一个不错的靶场,不过练习这里面的习题需要一点点积分,它会送一些积分当然你练习的多可能也会需要花费一点点的园子。整体来说还是很不错的。

(98条消息) 全流程+讲解+避坑指南 第一次使用vulhub搭建漏洞环境_luluoluoa的博客-CSDN博客_vulhub

这个就厉害了,是kali上的靶场,emmm有兴趣的可以去试试。

选手训练营 - 网络安全竞赛|网络安全竞赛培训|信息安全竞赛培训-i春秋 (ichunqiu.com)

这个嘛,我不是很了解,但是这个很著名

如何刷题:

​ 如果是纯新手小白,拿到题目肯定是一脸懵逼的,(啊!这是什么东西?怎么就一个框框,题目怎么不告诉我要干嘛。啊?我该干啥啊,我不会搞了一个假的靶场吧,什么鬼东西?-----咳咳,以上不是我嗷)这个时候你就有必要首先看一下别人怎么解的,一般大家写多了之后看到题目名字和内容就知道是考什么的内容了。这个你不必担心,你只是需要一点点的经验。

​ 当你做不出来或者需要一些帮助时,我都建议你看看别人的解答,直接在CSDN上搜这个关的名字就行了。为了方便大家我也给出一些大佬的题解:

pikachu:(98条消息) pikachu漏洞平台通关系列导览(所有关卡已完结)_仙女象的博客-CSDN博客_皮卡丘漏洞平台
dvwa:(98条消息) DVWA全关教程手册_维梓梓的博客-CSDN博客_dvwa通关教程

​ 为啥我只推荐了这么两个,因为这个是合集全都有,其他靶场的也很多,但是大多都是零碎的,而且各有千秋,所以大家还不如自己写到一个题去单独搜这个题来的好。pikachu的这个题解是我很喜欢的,给大家强烈推荐。

​ 另外还有这个大佬:

(98条消息) CTFWeb-BUUCTF竞赛真题WriteUp(1)_Tr0e的博客-CSDN博客_ctf竞赛试题及答案

CTF杂项-BUUCTF竞赛真题WriteUp(2)_Tr0e的博客-CSDN博客_ctf竞赛试题及答案

​ 他的博客全是宝藏:从java到python到安全工具,很多博客都是极高质量的。我给大家炸裂推荐。
(98条消息) Tr0e的博客_CSDN博客-渗透测试,终端安全,编程开发领域博主

一定把他的博客从头翻一遍哦!能收获很多的。

实用工具

说起一些工具那可就太多了,各有各的好,光大家常用的都有很多很多。这里我挑一点点介绍。

在线网站类

解密工具网站:

CTF在线工具-CTF工具|CTF编码|CTF密码学|CTF加解密|程序员工具|在线编解码 (hiencode.com)

这个是用来加密解密的,算是大合集了,遇到什么解密就找他,当然也不是全都有,还是有它无能为力的题。

md5在线解密破解,md5解密加密 (cmd5.com)MD5解密不解释

HexEd.it - Browser-based Online and Offline Hex Editingemm,这就是个在线的hex查看器,但我比较少用。我用010Editor。

CyberChef这个这个太牛了!但是我也没玩明白,推荐大家自己上csdn搜把换这个玩会。

资源信息网站:

安全圈info - 做接地气的信息安全导航 (anquanquan.info)

FreeBuf网络安全行业门户

渗透师 网络安全从业者安全导航 (shentoushi.top)

这些嘛,新手看看就好…吧

CTF资源库|CTF工具下载|CTF工具包|CTF工具集合 (ctftools.com)

这个里面有很多大家需要用到的工具的下载,可以重点看看。

软件工具类:

  1. burpsuite用来抓包的,更多介绍如下: Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手 工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得 测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite 的使用,也使得渗透测试工作变得轻松和高效。(98条消息) Burpsuite超详细安装教程_Oriental r0se的博客-CSDN博客_burp(98条消息) BurpSuite使用大全(详解)_一个懒鬼的博客-CSDN博客_burpsuite使用

​ 这个可以说是每个网络安全入门者必备的软件,没啥好说的,必须用必须弄懂!

  1. sqlmap

[(98条消息) 工具使用]SqlMap_拈花倾城的博客-CSDN博客_msf sqlmap

这个是,一款自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞。

  1. Wireshark

(98条消息) 网络分析工具——WireShark的使用(超详细)_世间繁华梦一出的博客-CSDN博客_wireshark

也是抓包的,我比较少用啦。WireShark是非常流行的网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程中各种问题定位。

  1. 010Editor

必备,(98条消息) 010editor安装与使用教程_洪荒少女66的博客-CSDN博客_010editor

  1. 御剑

(98条消息) 御剑后台扫描工具下载、安装、使用教程_Sumarua的博客-CSDN博客_御剑后台扫描

(98条消息) 多年珍藏的55w御剑字典_weixin_33966095的博客-CSDN博客

这个御剑记得换个字典,自带的字典嘛,真不够用

  1. 蚁剑/中国菜刀/冰蝎

(98条消息) 中国蚁剑(AntSword)安装、使用教程_丶没胡子的猫的博客-CSDN博客_antsword

(98条消息) Cknife(中国菜刀) and AntSword(中国蚁剑)使用_Deeeelete的博客-CSDN博客_cknife使用

(98条消息) 网站控制工具:冰蝎3.0使用体验_网安溦寀的博客-CSDN博客_冰蝎github

  1. exeinfope

这个是用来对exe文件操作的
(98条消息) Exeinfo PE查壳工具_几番89的博客-CSDN博客_exeinfo pe怎么看有没有壳

  1. Stegesolve

这个是对图片文件操作的

  1. Ziperello

这个是对zip压缩文件暴力破解的

(98条消息) Ziperello——简介、安装_Starzkg的博客-CSDN博客_ziperello

  1. QR_Research
  2. hackbar(浏览器插件)

(98条消息) hackbar工具安装使用教程_julien_qiao的博客-CSDN博客_hackbar

相关书籍

这个就…也有不少,见仁见智了,某宝上一搜ctf就有了。至于PDF版本或者想便宜一点购入可以选择咸鱼。

标签: java 大数据 网络

本文转载自: https://blog.csdn.net/xuanyulevel6/article/details/126617356
版权归原作者 苏柘_XTUer 所有, 如有侵权,请联系我们删除。

“CTF小白新手导航(基础建议)”的评论:

还没有评论