渗透测试大牛是这样炼成的（非常详细），零基础入门到精通，看这一篇就够了

前言

总有人私信我，想学好渗透测试，该怎么学？我把自己的经验总结出来，你们看看有没有帮助。

首先要正确认知自己，你的目标是想快速掌握技能，还是想成为一个伟大的安全专家。目标不一样，学习方法不一样。

对于大多数初学者，掌握实用技能，提升个人能力，是首要目标。成为一名白M子，创造自己的价值，而不是变成一个只会破坏的黑客。

小白想学技能，一点都不丢人。在网络安全圈，不想提升技能才丢人。

抛弃掉骨子里耻于求人的羞耻感，是掌握渗透测试的第一步。不懂，咱就问。

对初入门的小白来说，核心思想就是动手，搞实践、搞实践、搞实践，重要的事情说三遍。

学习就是搞实践，搞实践就是学习。当你能力和时间不足，埋头搞理论研究，大概率是会失败和浪费青春。

在当前这个信息爆炸又强监管的时代，学渗透基本约等同于大规模搞靶机（包括CTF和模拟环境）。

搞靶机的核心是找到漏洞，然后利用。你放心，在实战中，你发现过的漏洞一定会再次出现。

找一个可以练习的靶场很容易，搭建一个环境也很容易，最难的是把这些技能融会贯通地应用到项目中去，也就是实战：发现-利用-getshell闭环验证。

小规模尝试闭环的话，可以去搞搞各大厂商的SRC平台。

先把自己最不确定最难干的事情干好：先搞靶场，再SRC，再打大型比赛，最后才是常规实战。

什么时候开始实战呢？等你靠实践掌握核心技能后，比如再完成100个靶场之后。

要善于自己学习寻找机会，在各类学习平台、在微博、在公众号，从别人零碎的语言线索。

比如安全推荐书单，得到一个清晰的学习路径，深入拆解和仔细分析，举一反三。

在社交平台、在知识星球，找到持续更新的账号，或者github上课持续学习的项目，仔细研究它。

从我过去的经验看，如果是我会这样做：

• 刷Hackthebox

• 刷Vulnhub

• 刷TryHackMe

• 刷CTFHub

• 刷DVWA

• 刷Metasploitable

• 刷OWASP WebGoat

• 刷补天

• 看writeUps

• 蹲WX群

• 看同行聊

• 线下面基

• 招聘网站上看

• 安全会议上看

• 收到的邮件和RSS

• 亲身经历被攻击

• 从周边感受到的新趋势

• 刷Github

• 刷Stack Overflow

• 刷Reddit r/netsec

• 刷Hacker News

• 刷BlackHat

• 刷Defcon

• 刷RSA Conference

• 刷SANS Institute

• 刷Offensive Security

• 刷Exploit Database

• 刷看雪

• 刷Freebuf

• 刷52破解

• 看H1榜单

• 看CVE列表

• 看OWASP Top 10

• 看CWE/SANS Top 25

• 看Mitre ATT&CK

• 看安全公司年度报告

• 看独立安全研究员博客

• 看安全趋势报告

• 看漏洞赏金平台

• 看CTF比赛排行榜

• 关注正在闷声写技术文档的安全大牛

• 关注正被热门投资的安全领域/安全公司

• 看Youtube上安全教程

• 看Bilibili上安全课程

• 看优快云上安全课程

• 看知识星球上安全课程

• 看公众号上安全课程

• 看51CTO上安全课程

• 研究平台新漏洞

• 研究平台新攻击手法

• 研究最近安全事件热点

• 研究最近爆发的漏洞

• Google搜索

• Shodan搜索

• Censys搜索

• ZoomEye搜索

• 搭靶场复现漏洞

• 拆解完整攻击链

• 举一反三

• 顺藤摸瓜寻找漏洞原理

• 加入小圈子

• 关注官方邮件组

• 看招聘网站岗位要求

• 分析自己学不好的原因

• 先练练手（下场找手感，学习不重要）

• 再深度学（一周练习几小时到几十小时）

• 再全职干（一年完成300-1000小时学习）

• 再深入研究（一年投入1000小时以上）

• 再成为专家研究员（一年研究3000小时以上）

• 没有什么学不会的

• 有电脑、肯投入就行

• 不懂漏洞原理去学编程

• 看不懂数据包去学网络基础

• 不熟悉OS去学操作系统

• 去学Web安全

• 去学各种安全工具的官方手册

告诉了你这么多找学习方法，还学不会？

也会有人头大，抱怨哪有那么多时间？即使整个人都钻进去，天天学，也不一定学完…

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，需要点击下方链接即可前往获取

读者福利 | 优快云大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）

👉1.成长路线图&学习规划👈

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。（全套教程文末领取哈）

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！（全套教程文末领取哈）

👉4.护网行动资料👈

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

👉5.黑客必读书单👈

👉6.网络安全岗面试题合集👈

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或链接免费领取~

读者福利 | 优快云大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）