文章目录
前言
1、CTF是什么
CTF(Capture The Flag,夺旗赛)起源于 1996 年 DEFCON 全球黑客大会,是网络安全爱好者之间的竞技游戏。CTF 竞赛涉及众多领域,内容繁杂。
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。
CTF比赛知识范围大致分为:Web安全、PWN(二进制安全)、Reverse(逆向破解)、Crypto(密码学安全)、Forensics(数字取证)、Misc(杂项)
Web安全考察范围:CTF中的Web题型,就是给定一个Web网站,选手要根据题目所提示的信息,找到网站上的flag字符串。做题的方法类似于渗透测试,但通常不会是一个完整的渗透测试,而是用到渗透测试中的某一个或某几个环节。可能涉及信息搜集、各类漏洞发现与利用、权限提升等等。 为了获取flag,可能需要拿到管理员权限,数据库权限,甚至获取网站所在服务器的权限。 所需知识: 语言:PHP、Python、JavaScript… 数据库:MySQL、MSSQL… 服务器:Apache、Nginx… Web框架:ThinkPHP、Flask… 语言特性:弱类型、截断… 函数特性:is_numeric、strcmp等
PWN:PWN在安全领域中指的是通过二进制/系统调用等方式获得目标主机的 shell。CTF 中主要考察二进制漏洞的发掘和利用,需要对计算机操作系统底层 有一定的了解。在 CTF 竞赛中,PWN 题目主要出现在 Linux 平台上。 所需知识: C/C++编程语言基础、编译原理、汇编、反汇编、操作系统、加密与解密、堆栈原理、栈溢出、堆溢出…
Reverse:CTF之REVERSE题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。需要掌握汇编,堆栈、寄存器方面的知识。有好的逻辑思维能力。主要考查参赛选手的逆向分析能力。 所需知识: 汇编、反汇编、堆栈、调试器、代码分析、OllyDBG、IDA等
Crypto:CTF之CRYPTO部分题目考察各种加解密技术,包括古典加密技术、现代加密技术甚至出题者自创加密技术。 所需知识: 数学知识、密码编制、密码破解、古典密码、现代密码、密码分析
Forensics:CTF之FORENSICS包括文件格式分析,隐写术,内存转储分析或网络数据包捕获分析,提取静态数据文件中隐藏的信息的任何挑战都可以归为这一类 所需知识: 数据恢复、磁盘取证、内存取证、流量分析、文件隐写
Misc:就是除上述之外的乱七八糟的网络安全范围内的东西,英文全称为 Miscellaneous,意思是混杂的、各种各样的。MISC 题通 常包括文件分析、图像隐写、数据搜索、内存镜像分析和流量分析等。 题型多样,脑洞大,趣味性强是 MISC 题型的主要特点。 所需知识: 信息隐藏、文件格式、内存镜像、流量分析、数据分析、社会工程等
2、有必要学习吗?
你应该学习的是CTF中所涉及的知识本身,大学生可以去参加一些国内的CTF比赛,可以认识一些朋友,如果比赛取得一定名次,对找工作来说也算是一个加分项。
国内知名CTF赛事:(摘自百度百科)
XCTF全国联赛
中国网络空间安全协会竞评演练工作组主办、南京赛宁承办的全国性网络安全赛事平台,2014-2015赛季五站选拔赛分别由清华、上交、浙大、杭电和成信技术团队组织(包括杭电HCTF、成信SCTF、清华BCTF、上交0CTF和浙大ACTF),XCTF联赛总决赛由蓝莲花战队组织。XCTF联赛是国内最权威、最高技术水平与最大影响力的网络安全CTF赛事平台。
AliCTF
由阿里巴巴公司组织,面向在校学生的CTF竞赛,冠军奖金10万元加BlackHat全程费用。
XDCTF
2015年之前由西安电子科技大学信息安全协会与西安电子科技大学组织的CTF竞赛,其特点是偏向于渗透实战经验。2016年之后由西安电子科技大学组织举办。
HCTF
由杭州电子科技大学信息安全协会承办组织的CTF
杭州电子科技大学信息安全协会由杭州电子科技大学通信工程学院组织建立,协会已有七年历史,曾经出征DEFCON,BCTF等大型比赛并取得优异成绩,同时协会还有大量有影响力的软件作品。协会内部成员由热爱黑客技术和计算机技术的一些在校大学生组成,有多个研究方向,主要有渗透,逆向,内核,web等多个研究方向。至今已经成功举办6次CTF比赛。
ISCC
由北理工组织的传统网络安全竞赛,最近两年逐渐转向CTF赛制。
LCTF
由L-Team战队组织的CTF竞赛。
TCTF
TCTF由中国网络空间安全协会竞评演练工作委员会指导、腾讯安全发起、腾讯安全联合实验室主办,0ops战队和北京邮电大学协办的CTF竞赛. [3-4]
Real World CTF
Real World CTF 是由长亭科技主办的国际级 CTF 大赛,全球首创 CTF 夺旗赛和 Pwn 赛结合的全新赛制,赛题全部基于 现实世界软件的修改或二次开发,首届即吸引了 5 大洲,15 个国家地 区顶尖战队参赛。 [4-6]
百度杯CTF夺旗大战
由百度安全应急响应中心和i春秋联合举办的CTF比赛,国内现今为止首次历时最长(半年)、频次最高的CTF大赛。赛题丰富且突破了技术和网络的限制。
全国大学生信息安全竞赛创新实践能力赛线上赛
由教育部高等学校信息安全专业教学指导委员会主办,西安电子科技大学、永信至诚、国卫信安等承办;百度安全中心、阿里安全应急响应中心、腾讯安全平台方舟计划、360企业安全集团赞助支持的CTF竞赛,覆盖面广,质量级别最高,被参赛选手称作CTF的国赛。
还有其他的一些CTF比赛,可以去All about CTF (Capture The Flag)和CTFHub 上查看
3、如何学习CTF
找一些CTF刷题平台去刷题,比如buuctf、ctfhub、xctf、hetianlab等,网上有各种CTF题目的解题过程,可以去看,去学习。遇到的知识点反过来去补。最终的目的应该是学会某一项的技能,而不是成为赛棍。
拿下NISP-SO网络安全证书之后,身为普通的你可以:
跨越90%企业的招聘硬门槛
增加70%就业机会
拿下BAT全国TOP100大厂敲门砖
体系化得到网络技术硬实力
IE大佬年薪可达30w+
如何入门学习网络安全【黑客】
【----帮助网安学习,以下所有学习资料文末免费领取!----】
> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)
大纲
首先要找一份详细的大纲。
学习教程
第一阶段:零基础入门系列教程
该阶段学完即可年薪15w+
第二阶段:技术入门
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
CTF比赛视频+题库+答案汇总
实战训练营
面试刷题
最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。
但是,我觉得很多人拿到了却并不会去学习。
大部分人的问题看似是“如何行动”,其实是“无法开始”。
几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要。
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 即可自动领取↓↓↓
或者
【点此链接】领取