一、成为一名CTFer,需要了解哪些领域和基础知识?
就目前来说,想成为一名水平还不错的CTF二,需要了解的基础知识还是挺多的,主要如下:
0.基础知识
a.编程语言:Python 、C/C++ 、JavaScript、Java
b.操作系统原理:Linux 基础、Windows 系统结构
c.网络基础:TCP/IP 协议、HTTP/HTTPS
d.加密算法:对称加密、非对称加密、散列函数
1. 逆向工程 (Reverse Engineering)
a. 学习汇编语言与C/C++
b. 使用工具如IDA Pro, Ghidra或Radare2进行实操
c. 练习Crackmes
d. 参考《逆向工程核心原理》
2. 网络安全 (Networking)
a. 掌握TCP/IP基础知识
b. 学习Wireshark和nmap使用
c. 参与CTF中的网络挑战题目练习
d. 阅读图灵图书《网络是怎样连接的》
3. 密码学 (Cryptography)
a. 学习基础数学知识,特别是代数和数论
b. 掌握常见加密算法及原理,如AES, RSA, ECC
c. 实践CTF密码题
d. 阅读《应用密码学》
4. Web安全
a. 熟悉HTTP协议和Web应用结构
b. 学习SQL注入、XSS、CSRF等常见Web攻击技术
c. 参加Web安全相关的CTF练习
d. 阅读《白帽子讲Web安全》
5. 二进制漏洞 (Pwnable)
a. 学习C/C++和内存管理
b. 掌握栈溢出、堆溢出等漏洞利用技术
c. 使用调试器和漏洞挖掘工具练习,例如GDB, Pwndbg
d. 参考《Pwn学习路线》及《Hacking: The Art of Exploitation》
6. Misc(杂项)
a. 学习各种杂项知识,比如隐写术、数据恢复
b. 练习各类CTF赛事中的Misc题目
c. 探索与实践,例如利用Python编写解题脚本
d. 参考相关在线资料和书籍,不断积累经验
二、新人如何快速入门?
针对于新人,快速入门的方式如下:
使用CTF赛题复现平台
OverTheWire (OTW):从简单到困难,多个系列,非常适合初学者
CTFHub:提供了各类比赛历年真题和体系化的技能树,适合初学者练习
BUUCTF:国内较早使用动态靶机的CTF复现平台,提供平台开源环境和较全的比赛Writeup
多做特定类型入门级赛题
Web 类型:涉及常见的Web漏洞,如注入、XSS、文件包含、代码审计、上传等漏洞。DVWA值得推荐。
逆向工程:Pwnable网站上有适合初学者的逆向题目。
密码学 :初学者可以从简单的凯撒密码、替换密码开始
杂项 :涉及流量分析、电子取证、数据分析等,适合拓宽知识面
多看学习资源
实验吧:“角斗场”中汇集了多种类型的题目,适合不同水平的参赛者
安全客:提供CTF相关的教程和文章,适合初学者学习和了解CTF的各种知识点。
FreeBuf:提供大量的安全资讯和技术文章,适合初学者了解行业动态
《从零到一 CTFer成长之路》:由NU1L战队成员编写,内容涵盖了CTF的常考领域
i春秋平台提供的网络安全零基础学习路线,适合初学者按部就班地学习
先知社区、看雪论坛等,可以帮助你了解最新的CTF赛事信息和学习资源
开源图书 CTF竞赛入门指南(CTF All In One)
给新手的三个靠谱建议:
1、了解CTF赛题分类,按题型模块化学习并收集相关工具。可以先按模块去看WP学习解题思路和方法,然后再去刷题巩固。
2、找一个氛围好的CTF团队,一起组队参加CTF比赛,交流学习分享思路。
3、实力不足的时候适当参加小型比赛,拿奖增加信心。能力足够的时候,直接冲大型比赛,奖金丰厚
三、还有****哪些方式可以快速帮助提升实战能力,达到合格标准
多参加CTF比赛
实战经验最直接的来源就是参加CTF比赛,不同类型的比赛(解题模式、攻防模式、混合模式)会锻炼不同的技能,尽量多参加各种类型的比赛。
复现CTF题目
在CTF比赛结束后,通过复现比赛题目来深入理解其中的知识点和技术细节。许多平台如CTFHub、BUUCTF等提供比赛的复现环境和WriteUp。
阅读优秀WriteUp
阅读其他参赛者或团队的解题报告(WriteUp),了解不同的解题思路和技巧
动手搭建个人实验室
搭建自己的实验环境,如使用Docker、VirtualBox等虚拟化技术,模拟不同的漏洞环境进行练习,比如使用VulnHub
深入选择某个特定领域
选择CTF中的一个或几个特定领域(如Web、Pwn、Crypto等),深入研究,成为该领域的专家
加入CTF战队
加入或组建CTF团队,与队友一起讨论、解决问题,可以学习到团队合作和分工协作的技巧
04 结语
最后想对大家说的是:
在CTF比赛的征途上,每一行代码都是解谜的钥匙,每一道题目都是技艺的试炼。持续学习是进攻的武器,实战经验是防守的盾牌,唯有不断进步,才能在找到自我胜利的平衡点。
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
初级网工
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选); ·了解Bootstrap的布局或者CSS。
8、超级网工
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交流一下。
网络安全学习路线&学习资源
扫描下方卡片可获取最新的网络安全资料合集(包括200本电子书、标准题库、CTF赛前资料、常用工具、知识脑图等)助力大家提升进阶!
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失!!!
扫一扫
2790
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
