一、成为一名CTFer,需要了解哪些领域和基础知识?
**
就目前来说,想成为一名水平还不错的CTF二,需要了解的基础知识还是挺多的,主要如下:
**
0.基础知识
-
a.编程语言:Python 、C/C++ 、JavaScript、Java
-
b.操作系统原理:Linux 基础、Windows 系统结构
-
c.网络基础:TCP/IP 协议、HTTP/HTTPS
-
d.加密算法:对称加密、非对称加密、散列函数
1. 逆向工程 (Reverse Engineering)
-
a. 学习汇编语言与C/C++
-
b. 使用工具如IDA Pro, Ghidra或Radare2进行实操
-
c. 练习Crackmes
-
d. 参考《逆向工程核心原理》
2. 网络安全 (Networking)
-
a. 掌握TCP/IP基础知识
-
b. 学习Wireshark和nmap使用
-
c. 参与CTF中的网络挑战题目练习
-
d. 阅读图灵图书《网络是怎样连接的》
3. 密码学 (Cryptography)
-
a. 学习基础数学知识,特别是代数和数论
-
b. 掌握常见加密算法及原理,如AES, RSA, ECC
-
c. 实践CTF密码题
-
d. 阅读《应用密码学》
4. Web安全
-
a. 熟悉HTTP协议和Web应用结构
-
b. 学习SQL注入、XSS、CSRF等常见Web攻击技术
-
c. 参加Web安全相关的CTF练习
-
d. 阅读《白帽子讲Web安全》
5. 二进制漏洞 (Pwnable)
-
a. 学习C/C++和内存管理
-
b. 掌握栈溢出、堆溢出等漏洞利用技术
-
c. 使用调试器和漏洞挖掘工具练习,例如GDB, Pwndbg
-
d. 参考《Pwn学习路线》及《Hacking: The Art of Exploitation》
6. Misc(杂项)
-
a. 学习各种杂项知识,比如隐写术、数据恢复
-
b. 练习各类CTF赛事中的Misc题目
-
c. 探索与实践,例如利用Python编写解题脚本
-
d. 参考相关在线资料和书籍,不断积累经验
二、新人如何快速入门?
针对于新人,快速入门的方式如下:
使用CTF赛题复现平台
-
OverTheWire (OTW):从简单到困难,多个系列,非常适合初学者
-
CTFHub:提供了各类比赛历年真题和体系化的技能树,适合初学者练习
-
BUUCTF:国内较早使用动态靶机的CTF复现平台,提供平台开源环境和较全的比赛Writeup
多做特定类型入门级赛题
-
Web 类型:涉及常见的Web漏洞,如注入、XSS、文件包含、代码审计、上传等漏洞。DVWA值得推荐。
-
逆向工程:Pwnable网站上有适合初学者的逆向题目。
-
密码学 :初学者可以从简单的凯撒密码、替换密码开始
-
杂项 :涉及流量分析、电子取证、数据分析等,适合拓宽知识面
多看学习资源
-
实验吧:“角斗场”中汇集了多种类型的题目,适合不同水平的参赛者
-
安全客:提供CTF相关的教程和文章,适合初学者学习和了解CTF的各种知识点。
-
FreeBuf:提供大量的安全资讯和技术文章,适合初学者了解行业动态
-
《从零到一 CTFer成长之路》:由NU1L战队成员编写,内容涵盖了CTF的常考领域
-
i春秋平台提供的网络安全零基础学习路线,适合初学者按部就班地学习
-
先知社区、看雪论坛等,可以帮助你了解最新的CTF赛事信息和学习资源
-
开源图书 CTF竞赛入门指南(CTF All In One)
**给新手的三个靠谱建议:
**
1、了解CTF赛题分类,按题型模块化学习并收集相关工具。可以先按模块去看WP学习解题思路和方法,然后再去刷题巩固。
2、找一个氛围好的CTF团队,一起组队参加CTF比赛,交流学习分享思路。
3、实力不足的时候适当参加小型比赛,拿奖增加信心。能力足够的时候,直接冲大型比赛,奖金丰厚
三、还有****哪些方式可以快速帮助提升实战能力,达到合格标准
多参加CTF比赛
- 实战经验最直接的来源就是参加CTF比赛,不同类型的比赛(解题模式、攻防模式、混合模式)会锻炼不同的技能,尽量多参加各种类型的比赛。
复现CTF题目
- 在CTF比赛结束后,通过复现比赛题目来深入理解其中的知识点和技术细节。许多平台如CTFHub、BUUCTF等提供比赛的复现环境和WriteUp。
阅读优秀WriteUp
- 阅读其他参赛者或团队的解题报告(WriteUp),了解不同的解题思路和技巧
动手搭建个人实验室
- 搭建自己的实验环境,如使用Docker、VirtualBox等虚拟化技术,模拟不同的漏洞环境进行练习,比如使用VulnHub
深入选择某个特定领域
- 选择CTF中的一个或几个特定领域(如Web、Pwn、Crypto等),深入研究,成为该领域的专家
加入CTF战队
- 加入或组建CTF团队,与队友一起讨论、解决问题,可以学习到团队合作和分工协作的技巧
04 结语
最后想对大家说的是:
在CTF比赛的征途上,每一行代码都是解谜的钥匙,每一道题目都是技艺的试炼。持续学习是进攻的武器,实战经验是防守的盾牌,唯有不断进步,才能在找到自我胜利的平衡点。
目前,我们的5月微信安全打卡群正在持续招募中,如果你也想参与打卡,请转发朋友圈,积攒15个以上,在公众号中(如下图)找到【每日一问】联系我,邀请你加入打卡群。
我们已完成的经典打卡如下,期待您加入群聊,与30+安全大咖一起讨论更多有趣的话题。
题外话
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
862
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
