学习总结
1.虚拟机篇
初识虚拟机
虚拟机是我当时刚刚加入实验室还未学习网络安全相关知识的时候就安装的,当时其实我并不知道我们这么早就要用到虚拟机,只是恰巧想玩一玩win11,又不敢在物理机上升级,所以就根据教程下了个VMware15。但是兼容性并不高,打不开win11的镜像,所以我又改下了一个vm16,再经过一系列设置后才能运行win11,但是却索然无味,然后win11被我抛弃,但虚拟机却一直被我保留了下来。
kali和乌班图的安装
没想到,在第一次课程里就用到了虚拟机,并且还让安装kali和乌班图的镜像,所谓一步先步步先,我直接就进行了安装,在课堂上就安装好了乌班图16和18,但是kali却找不到镜像在哪,后来经过一番请教后才知道kali是直接打开的,直接就从vm的选项中就可以打开。然后再就是根据教程将乌班图和kali的源换到中科大,还有将kali的语言设置为中文,这才算完成好kali和乌班图的安装。
kali的运用
说实话,迄今为止,用到kali的次数屈指可数,毕竟现在对Linux系统的运用几乎为零,但是kali里面集成的工具种类之多却是不断激发我对kali学习的欲望(在之前做ctf题目的过程中不乏有在windows上打不开的文件,但每次都能在kali里面打开,这让我非常想熟练运用kali),在后续的学习中将逐渐展开对Linux和kali的学习和运用。**
2.CTF篇
初识ctf
最初的最初听到ctf这个名词的时候还是见面会,也正是那天的见面会打开了我通向网络安全的第一扇门,在那之后我也逐渐了解了有关ctf的详情,ctf又称夺旗赛,就是要拿到出题方隐藏的flag,而为了拿到flag而设的阻碍又有不同类型,所以导致ctf题基本上分为了
杂项,pwn,web,逆向,解密(我暂时只接触到了这些)五大类,我也在某个不知的下午注册了攻防世界开始了自己的ctf之旅。
杂项和web
对于初学者,杂项和web无疑是相对友好的,毕竟我感觉就只有这两个的wp看起来不需要过多基础,当然这是在掌握了一定量基础之后,我在ctf的学习中也不是直接上手,而是在b站上看了些网课之后,进行复现,才渐渐摸清了套路,毕竟万事开头难。至于pwn和逆向,我还是再等等吧,这两样的门槛还是太高了,对于现在的我简直是遥不可及,每次云宝哥下午上的二进制我都是十分崩溃的,有心无力是常态,偶尔能跟上也是非常低端的操作,以至于现在二进制都给我带来了压迫感。
湖湘杯
一种ctf赛事,第一次感受,虽然有点为时尚早,不过先感受一下总是好的,要说学到了什么,我觉得这种比赛对于我来说好像并没有达到遥不可及的地步(虽然一个题也没做出来),但是我至少也清楚了一些题型的一部分思路,明白了给我一个题我该往那些方面去想,常规手段有哪些,这是我在这次赛事中学到最重要的,同时这也极大的鼓舞了我的信心。
3.工具运用篇
burp suite
对于这款工具我是又爱又恨,爱的是它的全能它的强大,恨的是它安装起来无比复杂,到最后还是云宝哥帮我装好的。对于这款工具,我暂时仅仅学会了代理和爆破还有repeater这三个功能(当然还只是基本掌握,没有达到精通的地步),这就已经足以支持我驰骋在web的简单题中了,可见这款工具的强大之处。
phpstduy
这款工具是我最早利用的工具之一了,当初加入实验室需要完成的三个任务之一就有它的身影,它的基本使用方法我也已经基本,主要利用于搭建本地靶场,构建自己的网站,也是一款非常强大的软件,不过我的学习于它的交集并不深,,暂时需要自己动手搭建的靶场也不是很多,所以学到的东西并不是很多。
当然在这段时间学习使用的软件工具有很多,像蚁剑,火狐便携版,御剑,包括虚拟机的运用都或多或少的学会运用了,相信在其中学到的知识也是非常庞杂的,就不一一列举了。
总结
经过这一段时间对于网络安全的学习,对于工具的运用方面还是有了一定的了解,我发现很多时候(无论做ctf,还是奶茶题,植物大战僵尸外挂等)其实都是考验我们对于工具的一个掌握运用,我认为这是很好的突破点,就好像要看懂一篇文章,最起码的词汇量是必不可少的,所以倘若对这些常用工具的运用达到炉火纯青的地步,或许问题就解决一大半了。
4.web篇
这个web和ctf题中的web题又不一样,是指常常上网所学习到的一些关于网络的知识。最起码的,像post和get传参的区别,代码执行和命令执行的本质区别,net和snet的区别,交换机和路由器的区别等的印象还是非常深刻的。另外,在现阶段的学习中还学习到了一大堆的协议,包括http协议,https协议,robots爬虫协议,tcp和ip协议,date伪协议。这一大堆的协议真是十分的繁杂。不过好在对其有了一些大概的了解。
包括上周课新接触到的漏洞挖掘也是一扇新的大门(好像是struts框架吧),但是才刚刚起步,其他相关的知识还有待掌握。
还有一些小规模的源码查看(代码审计),也是这段时间学到的内容,最简单粗暴的方法就是看不懂的函数就百度,很简单,但也很有效。
文件上传漏洞的利用,这是某次的web作业,到现在的话,我不能说百分之百的掌握了,但是百分之八十应该还是有的,这其中的学到的细节(包括绕过方式,操作流程)还是十分充分的。
文件包含的利用,在文件包含漏洞利用的过程中我印象最为深刻的就是制造伪协议,然后通过已有参数进行一系列操作,进而进行渗透。
5.学习方法的探索
经过高考应试教育的磨练,可能没有学到什么有用的知识,但是学习能力确实是有了的,学习方法的重要性估计也不用我过多的说明,同时越早形成适合自己的学习方法越好,这早在我高中时就深知其中要害,所以我早早就在探索适合自己的学习方法,所以,到现在我已初步形成现阶段较高效率的学习方法了,采用网课+刷题+总结套路+逐个击破的爆破式地毯式学习方法,可能这样说起来或许有点中二,但是学习方法这种东西确实不是那么好形容的,暂且叫它多渠道学习法吧,这样学习的目的也是显而易见,希望能够打牢基础,将来才能在这条路上走得更远,同时在现阶段和未来很长一段时间(至少将web基础已及ctf基础以及Linux操作基础以及各类工具运用基础相互融会贯通之前)应该都会使用这个方法。
6.时间运用及规划
作为一名计算机科学与技术专业的学生,现在的时间其实应当是相当充分的,毕竟在本学期还只有高数和c语言两科主课,但是需要自学的东西还是非常多的,时间并没有想象中的那样充分,之前我就想自学Linux操作系统和kali的工具,还有一些有关ctf题目的网课,奈何时间十分的紧张,几乎完全没有时间进行学习,前脚高数还欠着课程,小迪还才看到前几天,后脚还不知道有多少作业要写,多少乱七八糟活动必须得参加,当真感觉比高中还杂,不过相对而言还是自由和充实,真是矛盾啊。不过鲁迅说得好,时间就像海绵里的水,愿意挤总是有的。熬过这段时间,还有不到两个月就放假了,寒假的时间相比与高中显得如此充分,到时再恶补操作系统和和网络安全基础也为时不晚,并且与此同时我也有时间刷大量的ctf题,为接下来的ctf赛做准备。
7万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
