零基础小白如何入门CTF,看这一篇就够了(附学习笔记、靶场、工具包)

原创 于 2025-09-24 17:09:52 发布 · 534 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #笔记 #web安全 #计算机 #计算机网络 #CTF #CTF夺旗赛

目录

CTF简介:

CTF(Capture The Flag)中文一般译作夺旗赛
在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式

  • CTF靶场:CTF刷题,在校生备战CTF比赛,信安入门、提升自己、丰富简历之必备(一场比赛打出好成绩,可以让你轻松进大厂,如近期的各种CTF杯),在职人员可以工作意外提升信安全技能。

  • 渗透实战靶场:挖洞、渗透实战(web、域、横向渗透),适合实战能力需要大幅度提升的同学。
    在这里插入图片描述

一、CTF入门

最近很多朋友在后台私信我,问应该怎么入门CTF。个人认为入门CTF之前大家应该先了解到底什么是CTF,而你学CTF的目的又到底是什么?

零基础入门的小伙伴,可以看下方二维码,有学习路线和教程

请添加图片描述

废话结束

对于CTF入门,现在环境比15、16年我刚接触时好太多了,当年各类资源少的可怜,SQL注入绕WAF已经算是难题了。而目前国内的氛围明显好太多了,涌现出了大量优秀的平台。作为初学者往往会遇到一个很关键的问题:该学哪个方向?

个人感觉,在不知道学啥的事情可以先学学Misc培养兴趣,然后在不断的做题中思考自己感兴趣的方向。其次日后发展也是个很关键的事情,如果准备毕业后从事网络安全,那么就需要想好Web、Pwn这些方向的日后发展。可以干哪些岗位,而这些岗位需要的对应能力、发展空间、薪资等等。

1.1、CTF常识

CTF比赛知识范围大致分为:

Web安全
PWN(二进制安全)
Reverse(逆向破解)
Crypto(密码学安全)
Forensics(数字取证)
Misc(杂项)

  • Web安全

CTF中的Web题型,就是给定一个Web网站,选手要根据题目所提示的信息,找到网站上的flag字符串。做题的方法类似于渗透测试,但通常不会是一个完整的渗透测试,而是用到渗透测试中的某一个或某几个环节。

可能涉及信息搜集、各类漏洞发现与利用、权限提升等等。 为了获取flag,可能需要拿到管理员权限,数据库权限,甚至获取网站所在服务器的权限。

所需知识: 语言:PHP、Python、JavaScript… 数据库:MySQL、MSSQL… 服务器:Apache、Nginx… Web框架:ThinkPHP、Flask… 语言特性:弱类型、截断… 函数特性:is_numeric、strcmp等;

  • PWN

PWN在安全领域中指的是通过二进制/系统调用等方式获得目标主机的 shell。CTF 中主要考察二进制漏洞的发掘和利用,需要对计算机操作系统底层 有一定的了解。在 CTF 竞赛中,PWN 题目主要出现在 Linux 平台上。

所需知识: C/C++编程语言基础、编译原理、汇编、反汇编、操作系统、加密与解密、堆栈原理、栈溢出、堆溢出…

  • Reverse

CTF之REVERSE题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。需要掌握汇编,堆栈、寄存器方面的知识。有好的逻辑思维能力。主要考查参赛选手的逆向分析能力。

所需知识: 汇编、反汇编、堆栈、调试器、代码分析、OllyDBG、IDA等

  • Crypto

CTF之CRYPTO部分题目考察各种加解密技术,包括古典加密技术、现代加密技术甚至出题者自创加密技术。

所需知识: 数学知识、密码编制、密码破解、古典密码、现代密码、密码分析;

  • Forensics

CTF之FORENSICS包括文件格式分析,隐写术,内存转储分析或网络数据包捕获分析,提取静态数据文件中隐藏的信息的任何挑战都可以归为这一类

所需知识: 数据恢复、磁盘取证、内存取证、流量分析、文件隐写;

  • Misc

就是除上述之外的乱七八糟的网络安全范围内的东西,英文全称为 Miscellaneous,意思是混杂的、各种各样的。MISC 题通 常包括文件分析、图像隐写、数据搜索、内存镜像分析和流量分析等。 题型多样,脑洞大,趣味性强是 MISC 题型的主要特点。

所需知识: 信息隐藏、文件格式、内存镜像、流量分析、数据分析、社会工程等;
在这里插入图片描述

1.2、CTF竞赛模式

  • 解题模式(Jeopardy)

在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与。这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛,选手自由组队(人数不受限制)。

题目主要包含六个类别:RE逆向工程、Pwn漏洞挖掘与利用、Web渗透、Crypto密码学、Mobile移动安全和Misc安全杂项。

  • 攻防模式(Attack-Defense)

在攻防模式CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,通过挖掘网络服务漏洞并攻击对手服务来得分,通过修补自身服务洞进行防御来避免丢分。攻防模式通常为线下赛,参赛队伍人数有限制(通常为3到5人不等),可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负。

这是一种竞争激烈、具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,也比体力(因为比赛一般都会持续48小时及以上),同时也比团队之间的分工配合与合作。

  • 混合模式(Mix)

结合了解题模式与攻防模式的CTF赛制,主办方会根据比赛的时间、进度等因素来释放需解答的题目,题目的难度越大,解答完成后获取的分数越高。参赛队伍通过解题获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。

采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。

二、CTF赛事发布网站

i春秋: https://www.ichunqiu.com/competition

XCTF社区:https://time.xctf.org.cn

CTFwiki(入门必看wiki): https://ctf-wiki.github.io/ctf-wiki/#/introduction

CTFrank: https://ctfrank.org/

CTFtime(基本都是国外的): https://ctftime.org

三、CTF在线靶场

1、BugkuCTF(经典靶场,难度适中,适合入门刷题,题量大):https://ctf.bugku.com/

2、北京联合大学BUUCTF(新靶场,难度中上,搜集了很多大赛原题):https://buuoj.cn/

3、CTFSHOW:(新靶场,题量大,很多大赛会从中抽原题)https://ctf.show/challenges

4、XCTF攻防世界: https://adworld.xctf.org.cn/task

上面4个靶场是我常去的,BugkuCTF很久以前就刷了一遍,BUUCTF刷了有70%,CTFSHOW最近一直在刷,XCTF攻防世界以前有内网渗透实验,现在主要上去刷CTF。

5、实验吧: http://www.shiyanbar.com(2017年刷过一遍,目前站一直更新)

6、安恒周周练: https://www.linkedbyx.com/home

7、XSS专练:https://xss.haozi.me/tools/xss-encode/

8、南京邮电大学CTF网络攻防训练平台: http://ctf.nuptzj.cn/

9、网络信息安全实验平台 http://hackinglab.cn/index.php

四、漏洞靶场

1. DVWA(必练):http://www.dvwa.co.uk

Web安全入门必刷的靶场,包含了最常见的web漏洞,界面简单易用,通过设置不同的难度,可更好地理解漏洞的原理及对应的代码防护

2. Sqli-Labs(必练):https://github.com/Audi-1/sqli-labs

一个印度大神程序员写的,用来学习sql注入的一个游戏教程,目前65关,冲关过程中学注入。

3. Upload-labs(必练):https://github.com/c0ny1/upload-labs

一个和sqli-labs类似的靶场平台,专门学习文件上传的,目前21关。

4. BWVS(老版本bugku的离线版):https://github.com/bugku/BWVS

5. BWAPP: https://sourceforge.net/projects/bwapp

6. WAVSEP: https://github.com/sectooladdict/wavsep

7. VulnStack: http://vulnstack.qiyuanxuetang.net/vuln

8. Webug 3.0: https://pan.baidu.com/s/1eRIB3Se

9. Metasploitable: https://github.com/rapid7/metasploitable3

10. DVWA-WooYun: https://sourceforge.net/projects/dvwa-wooyun

11. OWASP Mutillidae: https://sourceforge.net/projects/mutillidae

12. Web for Pentester: https://www.pentesterlab.com/exercises/web_for_pentester

在这里插入图片描述

五、CTF工具包

CTF大赛, 俗话说“兵马未动,粮草先行”。打CTF手里的武器工具少不了,CTF比赛有些线下赛,不提供互联网环境,这就更需要开战前把工具包准备好了。

工具包目录:

六、学习路线(附学习资源)

👉网络安全(红蓝对抗)所有方向的学习路线👈

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

​​
学习资料工具包

压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。

​​

网络安全源码合集+工具包

视频教程

视频配套资料&国内外网安书籍、文档&工具


​​

因篇幅有限,仅展示部分资料,需要的小伙伴扫描下方二维码 即可前往获取

请添加图片描述

好了就写到这了,大家有任何问题也可以随时私信问我!希望大家不要忘记点赞收藏哦!

白帽KK
关注
网络工程师软考笔记(非常详细)零基础入门到精通,收藏这篇就
weixin_57514792的博客
08-22 1747
网络工程师软考笔记(非常详细)零基础入门到精通,收藏这篇就
【网络安全CTF零基础小白入门指南 | (内教程分享)
abao6690的博客
06-04 1218
【网络安全CTF零基础小白入门指南 | (内教程分享)
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-优快云博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比文件夹: 2.启动比: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
新手友好的CTF靶场整理合集
algae
04-18 1376
我整理得没有那么全,这里的合集主要还是面对新手。做题贵精不在多,好好练习每一题,学习每个知识点,不懂的百度或者 Google 即可。记住,你是为了提高自己而去打 CTFCTF时间表 CTFwiki(入门必看wiki): https://ctf-wiki.github.io/ctf-wiki/#/introduction XCTF社区: https://time.xctf.org.cn ...
CTF靶场搭建
skysys的研究小屋
01-25 1767
三步完成CTFd搭建 CTFd-Whale 推荐部署实践
网络安全ctf_学习资源整理,解题工具、比时间、解题思路、实战靶场学习路线,推荐收藏!
qq_44005305的博客
11-12 952
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
适合新手的CTF靶场合集
aweiname2008的博客
04-02 961
CTF时间表 CTFwiki(入门必看wiki): https://ctf-wiki.github.io/ctf-wiki/#/introductionXCTF社区: https://time.xctf.org.cni春秋: https://www.ichunqiu.com/competitionCTFrank: https://ctfrank.org/CTFtime...
什么是网络丢包?分享常见的丢包故障现象+处理方法,零基础入门到精通,看这一篇了!
最新发布
weixin_57514792的博客
09-05 1074
什么是网络丢包?分享常见的丢包故障现象+处理方法,零基础入门到精通,看这一篇了!
【2025】burpsuite安装详细教程(超详细)零基础入门到精通,看这篇就了!
weixin_57514792的博客
08-20 2020
【2025】burpsuite安装详细教程(超详细)零基础入门到精通,看这篇就了!
【新手必看】挖漏洞流程指南,黑客手把手教你挖漏洞月入过万!收藏这篇就了!(学习笔记
weixin_57514792的博客
06-05 863
【新手必看】挖漏洞流程指南,黑客手把手教你挖漏洞月入过万!收藏这篇就了!(学习笔记)【新手必看】挖漏洞流程指南,黑客手把手教你挖漏洞月入过万!收藏这篇就了!(学习笔记
【网络安全】适合新手的CTF靶场合集(必看)
wuli1024的博客
01-18 2509
我整理得没有那么全,这里的合集主要还是面对新手。做题贵精不在多,好好练习每一题,学习每个知识点,不懂的百度或者 Google 即可。记住,你是为了提高自己而去打 CTF
全!CTF靶场、渗透实战靶场总结 (适合收藏)
热门推荐
Appleteachers的博客
05-20 3万+
CTF靶场、渗透实战靶场总结 (适合收藏) CTF靶场CTF刷题,在校生备战CTF,信安入门、提升自己、丰富简历之必备(一场比打出好成绩,可以让你轻松进大厂,如近期的美团杯); 渗透实战靶场:挖洞、渗透实战(web、域、横向渗透),适合实战能力需要大幅度提升的同学。 目录 ▶0x01 CTF事发布网站 ▶0x02 CTF在线靶场 ▶0x03 漏洞靶场(本地搭建) ▶0x04 渗透实战靶场 0x01 CTF事发布网站 i春秋和XCTF社区经常会发布各类CTF事 i春秋: https://www.
2024最新CTF靶场集合大放送(非常详细)零基础入门到精通,收藏这一篇
Javachichi的博客
10-16 2665
后续的主要关注点会在 vulfocus 和 RootTheBox 上。
0基础小白怎么入门CTF,看这个就了(学习笔记靶场工具包下载)
z099164的博客
06-24 4529
0基础小白怎么入门CTF,看这个就了(学习笔记靶场工具包下载)
零基础打靶—CTF4靶场
qq_61861243的博客
12-02 1646
复制 license_info.json wa_data.dat 这两个文件到/home/acunetix/.acunetix/data/license/目录,全部替换即可。post 提交后,点击Blog,触发XSS,可以在BeEF页面,可以看到肉鸡上线,这里是本地宿主机这里使用的是本地火狐浏览器访问的,所以肉鸡为本地宿主机。尝试构建SQL注入语句,查看错误信息,order by判断字段发现6 页面报错,5页面没有报错,说明当前表有5列即5个字段。
CTF基础(学习笔记
qq_63785498的博客
03-08 840
CFT-DVWA-low笔记
BUUCTF靶场Misc练习
crownyouyou的博客
10-30 3958
在BUUCTF中,你需要留意各种关于涉及的信息。一些是CTF{}等信息也是flag,只需要将CTF改为flag即可。本文记录我刷BUUCTF的Misc类方法和个人感悟。
CTF-杂项入门学习笔记分享
m0_62945162的博客
06-14 2236
CTF入门学习笔记分享-杂项
ctf-misc 个人笔记(有空闲更新)
luohui56的博客
11-20 579
(1)base64编码后面常带有等号,且编码中会出现大小写字母,数字,还有加号和斜杠。同时也能保存为文件,十分方便(2)base64隐写可用python代码(借用2.其他编码(1)base编码家族除常见的base64外,还有base32,base16,base100等,各自有各自的特点(2)其他编码除此之外还有各种各样的编码,需要不断地学习积累经验可以使用工具尝试各种各样的解密与加密,来寻找究竟是哪种编码。
一篇CTF密码学学习笔记总结
04-28
好的,用户想撰写关于CTF密码学的学习笔记总结,我需要根据他之前提供的引用资料以及之前的回答来组织内容。首先,用户之前的回答已经涵盖了Web方向的内容,现在转向密码学,所以需要确保结构清晰,覆盖关键知识点。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值