CTF入门路线(个人建议)
基于本人学习ctf的一点点入门经验(一点点嗷,本人也才刚刚刚入门),给一些想要入门的小伙伴一些资源的引路。
基础理论知识
首先基础理论自不必多说,非常重要。我是看了一些这方面的视频来学习的。你只要在B站上搜索关键词"CTF"就可以收获大量相关视频。我自己跟的是“蚁景网安”的视频,我觉得挺不错的,就是好像网上没有直接现成的。这时候就祭出我们万能的某宝搜索“CTF”,你就能掌握很多质量不错的学习资源。
这些资源呢,包括视频,CTF工具套装,还有一些书籍的PDF等。视频我建议可以直接开看了(当然,既然都走向了ctf相信不会是一点点基础都没有的吧,其实也还好,遇到不会的基础知识及时回去学就好了),CTF的工具记得放在win10虚拟机里,不然你的电脑会直接杀毒杀掉QAQ还有可能影响你的日常操作。kali是一个虚拟机,也是需要安装的,我个人就常备了win10 和kali两个虚拟机。
至于那些书籍啊,你可以看看,但是基础阶段我觉得看起来也不太看的明白也枯燥乏味,反正我,不太爱看。
基础上手练习
看了理论之后想实操?那肯定就是选择靶场去玩儿啦!这里我推荐几个我接触到的靶场。
入门:
pikachu:(98条消息) pikachu 靶场搭建(完整版)_攀爬的小白的博客-CSDN博客_phpstudy快速搭建靶机
DVWA:(98条消息) DVWA靶场搭建完整流程_期待nila的博客-CSDN博客_dvwa靶场搭建
这俩是基于phpstudy搭建在本地的靶场,pikachu要容易一些,我建议新手小白无脑去pikachu玩。
hackinglab:网络安全实验室|网络信息安全攻防学习平台 (hackinglab.cn)
这一个是网络安全实验室的在线靶场,内容也是比较简单的,也很适合新手去入门,并且不需要配置等繁琐操作。
个人建议的难度顺序是:pikachu->hackinglab->DVWA
进阶:
等你觉得可以练习稍微难一点点的靶场的时候我就给你推荐BUUCTF
BUUCTF在线评测 (buuoj.cn)
这也是一个在线的靶场环境,里面除了有基础题还有很多比赛真题的环境,特别适合进阶一点的练习,而且题量也是十分丰富。
在线靶场_墨者学院 (mozhe.cn)
最后一个也是一个不错的靶场,不过练习这里面的习题需要一点点积分,它会送一些积分当然你练习的多可能也会需要花费一点点的园子。整体来说还是很不错的。
(98条消息) 全流程+讲解+避坑指南 第一次使用vulhub搭建漏洞环境_luluoluoa的博客-CSDN博客_vulhub
这个就厉害了,是kali上的靶场,emmm有兴趣的可以去试试。
选手训练营 - 网络安全竞赛|网络安全竞赛培训|信息安全竞赛培训-i春秋 (ichunqiu.com)
这个嘛,我不是很了解,但是这个很著名
如何刷题:
如果是纯新手小白,拿到题目肯定是一脸懵逼的,(啊!这是什么东西?怎么就一个框框,题目怎么不告诉我要干嘛。啊?我该干啥啊,我不会搞了一个假的靶场吧,什么鬼东西?-----咳咳,以上不是我嗷)这个时候你就有必要首先看一下别人怎么解的,一般大家写多了之后看到题目名字和内容就知道是考什么的内容了。这个你不必担心,你只是需要一点点的经验。
当你做不出来或者需要一些帮助时,我都建议你看看别人的解答,直接在CSDN上搜这个关的名字就行了。为了方便大家我也给出一些大佬的题解:
pikachu:(98条消息) pikachu漏洞平台通关系列导览(所有关卡已完结)_仙女象的博客-CSDN博客_皮卡丘漏洞平台
dvwa:(98条消息) DVWA全关教程手册_维梓梓的博客-CSDN博客_dvwa通关教程
为啥我只推荐了这么两个,因为这个是合集全都有,其他靶场的也很多,但是大多都是零碎的,而且各有千秋,所以大家还不如自己写到一个题去单独搜这个题来的好。pikachu的这个题解是我很喜欢的,给大家强烈推荐。
另外还有这个大佬:
(98条消息) CTFWeb-BUUCTF竞赛真题WriteUp(1)_Tr0e的博客-CSDN博客_ctf竞赛试题及答案
CTF杂项-BUUCTF竞赛真题WriteUp(2)_Tr0e的博客-CSDN博客_ctf竞赛试题及答案
他的博客全是宝藏:从java到python到安全工具,很多博客都是极高质量的。我给大家炸裂推荐。
(98条消息) Tr0e的博客_CSDN博客-渗透测试,终端安全,编程开发领域博主
一定把他的博客从头翻一遍哦!能收获很多的。
实用工具
说起一些工具那可就太多了,各有各的好,光大家常用的都有很多很多。这里我挑一点点介绍。
在线网站类
解密工具网站:
CTF在线工具-CTF工具|CTF编码|CTF密码学|CTF加解密|程序员工具|在线编解码 (hiencode.com)
这个是用来加密解密的,算是大合集了,遇到什么解密就找他,当然也不是全都有,还是有它无能为力的题。
md5在线解密破解,md5解密加密 (cmd5.com)MD5解密不解释
HexEd.it - Browser-based Online and Offline Hex Editingemm,这就是个在线的hex查看器,但我比较少用。我用010Editor。
CyberChef这个这个太牛了!但是我也没玩明白,推荐大家自己上csdn搜把换这个玩会。
资源信息网站:
安全圈info - 做接地气的信息安全导航 (anquanquan.info)
FreeBuf网络安全行业门户
渗透师 网络安全从业者安全导航 (shentoushi.top)
这些嘛,新手看看就好…吧
CTF资源库|CTF工具下载|CTF工具包|CTF工具集合 (ctftools.com)
这个里面有很多大家需要用到的工具的下载,可以重点看看。
软件工具类:
- burpsuite用来抓包的,更多介绍如下: Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手 工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得 测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite 的使用,也使得渗透测试工作变得轻松和高效。(98条消息) Burpsuite超详细安装教程_Oriental r0se的博客-CSDN博客_burp(98条消息) BurpSuite使用大全(详解)_一个懒鬼的博客-CSDN博客_burpsuite使用
这个可以说是每个网络安全入门者必备的软件,没啥好说的,必须用必须弄懂!
- sqlmap
[(98条消息) 工具使用]SqlMap_拈花倾城的博客-CSDN博客_msf sqlmap
这个是,一款自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞。
- Wireshark
(98条消息) 网络分析工具——WireShark的使用(超详细)_世间繁华梦一出的博客-CSDN博客_wireshark
也是抓包的,我比较少用啦。WireShark是非常流行的网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程中各种问题定位。
- 010Editor
必备,(98条消息) 010editor安装与使用教程_洪荒少女66的博客-CSDN博客_010editor
- 御剑
(98条消息) 御剑后台扫描工具下载、安装、使用教程_Sumarua的博客-CSDN博客_御剑后台扫描
(98条消息) 多年珍藏的55w御剑字典_weixin_33966095的博客-CSDN博客
这个御剑记得换个字典,自带的字典嘛,真不够用
- 蚁剑/中国菜刀/冰蝎
(98条消息) 中国蚁剑(AntSword)安装、使用教程_丶没胡子的猫的博客-CSDN博客_antsword
(98条消息) Cknife(中国菜刀) and AntSword(中国蚁剑)使用_Deeeelete的博客-CSDN博客_cknife使用
(98条消息) 网站控制工具:冰蝎3.0使用体验_网安溦寀的博客-CSDN博客_冰蝎github
- exeinfope
这个是用来对exe文件操作的
(98条消息) Exeinfo PE查壳工具_几番89的博客-CSDN博客_exeinfo pe怎么看有没有壳
- Stegesolve
这个是对图片文件操作的
- Ziperello
这个是对zip压缩文件暴力破解的
(98条消息) Ziperello——简介、安装_Starzkg的博客-CSDN博客_ziperello
- QR_Research
- hackbar(浏览器插件)
(98条消息) hackbar工具安装使用教程_julien_qiao的博客-CSDN博客_hackbar
相关书籍
这个就…也有不少,见仁见智了,某宝上一搜ctf就有了。至于PDF版本或者想便宜一点购入可以选择咸鱼。
版权归原作者 苏柘_XTUer 所有, 如有侵权,请联系我们删除。