零基础如何入门CTF,看这一篇就够了_ctf入门

已于 2025-01-11 18:28:14 修改
阅读量1k 收藏 21
点赞数 16
CC 4.0 BY-SA版权
分类专栏: 网络安全 程序员 计算机工具 文章标签: 安全 网络 web安全 学习 跳槽 python java
于 2024-12-23 17:39:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/logic1001/article/details/144673971
CTF简介:

CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。

CTF靶场CTF刷题,在校生备战CTF比赛,信安入门、提升自己、丰富简历之必备(一场比赛打出好成绩,可以让你轻松进大厂,如近期的各种CTF杯),在职人员可以工作意外提升信安全技能。

渗透实战靶场:挖洞、渗透实战(web、域、横向渗透),适合实战能力需要大幅度提升的同学。

一、CTF入门

最近很多朋友在后台私信我,问应该怎么入门CTF。

个人认为入门CTF之前大家应该先了解到底什么是CTF,而你学CTF的目的又到底是什么;

其次便是最好具备相应的编程能力,若是完全不具备这些能力极有可能直接被劝退。

毕竟比赛的时候动不动写个脚本,搞个审计的。

废话结束,对于CTF入门现在环境比1516年我刚接触时好太多了,当年各类资源少的可怜,SQL注入绕WAF已经算是难题了。而目前国内的氛围明显好太多了,涌现出了大量优秀的平台。作为初学者往往会遇到一个很关键的问题:该学哪个方向。

个人感觉,在不知道学啥的事情可以先学学Misc培养兴趣,然后在不断的做题中思考自己感兴趣的方向。其次日后发展也是个很关键的事情,如果准备毕业后重试网络安全,那么就需要想好Web、Pwn这些方向的日后发展。可以干哪些岗位,而这些岗位需要的对应能力、发展空间、薪资等等。

1.1、CTF常识

CTF(Capture The Flag,夺旗赛)起源于 1996 年 DEFCON 全球黑客大会,是网络安全爱好者之间的竞技游戏。CTF 竞赛涉及众多领域,内容繁杂。

CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。

CTF比赛知识范围大致分为:Web安全、PWN(二进制安全)、Reverse(逆向破解)、Crypto(密码学安全)、Forensics(数字取证)、Misc(杂项)

  • Web安全

CTF中的Web题型,就是给定一个Web网站,选手要根据题目所提示的信息,找到网站上的flag字符串。做题的方法类似于渗透测试,但通常不会是一个完整的渗透测试,而是用到渗透测试中的某一个或某几个环节。可能涉及信息搜集、各类漏洞发现与利用、权限提升等等。 为了获取flag,可能需要拿到管理员权限,数据库权限,甚至获取网站所在服务器的权限。 所需知识: 语言:PHP、Python、JavaScript… 数据库:MySQL、MSSQL… 服务器:Apache、Nginx… Web框架:ThinkPHP、Flask… 语言特性:弱类型、截断… 函数特性:is_numeric、strcmp等;

  • PWN

PWN在安全领域中指的是通过二进制/系统调用等方式获得目标主机的 shell。CTF 中主要考察二进制漏洞的发掘和利用,需要对计算机操作系统底层 有一定的了解。在 CTF 竞赛中,PWN 题目主要出现在 Linux 平台上。 所需知识: C/C++编程语言基础、编译原理、汇编、反汇编、操作系统、加密与解密、堆栈原理、栈溢出、堆溢出…

  • Reverse

CTF之REVERSE题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。需要掌握汇编,堆栈、寄存器方面的知识。有好的逻辑思维能力。主要考查参赛选手的逆向分析能力。 所需知识: 汇编、反汇编、堆栈、调试器、代码分析、OllyDBG、IDA等

  • Crypto

CTF之CRYPTO部分题目考察各种加解密技术,包括古典加密技术、现代加密技术甚至出题者自创加密技术。 所需知识: 数学知识、密码编制、密码破解、古典密码、现代密码、密码分析;

  • Forensics

CTF之FORENSICS包括文件格式分析,隐写术,内存转储分析或网络数据包捕获分析,提取静态数据文件中隐藏的信息的任何挑战都可以归为这一类 所需知识: 数据恢复、磁盘取证、内存取证、流量分析、文件隐写;

  • Misc

就是除上述之外的乱七八糟的网络安全范围内的东西,英文全称为 Miscellaneous,意思是混杂的、各种各样的。MISC 题通 常包括文件分析、图像隐写、数据搜索、内存镜像分析和流量分析等。 题型多样,脑洞大,趣味性强是 MISC 题型的主要特点。 所需知识: 信息隐藏、文件格式、内存镜像、流量分析、数据分析、社会工程等;

1.2、CTF竞赛模式
  • 解题模式(Jeopardy)

在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与。这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛,选手自由组队(人数不受限制)。题目主要包含六个类别:RE逆向工程、Pwn漏洞挖掘与利用、Web渗透、Crypto密码学、Mobile移动安全和Misc安全杂项。

  • 攻防模式(Attack-Defense)

在攻防模式CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,通过挖掘网络服务漏洞并攻击对手服务来得分,通过修补自身服务洞进行防御来避免丢分。攻防模式通常为线下赛,参赛队伍人数有限制(通常为3到5人不等),可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负。这是一种竞争激烈、具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,也比体力(因为比赛一般都会持续48小时及以上),同时也比团队之间的分工配合与合作。

  • 混合模式(Mix)

结合了解题模式与攻防模式的CTF赛制,主办方会根据比赛的时间、进度等因素来释放需解答的题目,题目的难度越大,解答完成后获取的分数越高。参赛队伍通过解题获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。

二、CTF赛事发布网站

i春秋: https://www.ichunqiu.com/competition

XCTF社区:https://time.xctf.org.cn

CTFwiki(入门必看wiki): https://ctf-wiki.github.io/ctf-wiki/#/introduction

CTFrank: https://ctfrank.org/

CTFtime(基本都是国外的): https://ctftime.org

三、CTF在线靶场

1、BugkuCTF(经典靶场,难度适中,适合入门刷题,题量大)

https://ctf.bugku.com/

2、北京联合大学BUUCTF(新靶场,难度中上,搜集了很多大赛原题)

https://buuoj.cn/

3、CTFSHOW:(新靶场,题量大,很多大赛会从中抽原题)

https://ctf.show/challenges

4、XCTF攻防世界:

https://adworld.xctf.org.cn/task

上面4个靶场是我常去的,BugkuCTF很久以前就刷了一遍,BUUCTF刷了有70%,CTFSHOW最近一直在刷,XCTF攻防世界以前有内网渗透实验,现在主要上去刷CTF。

5、实验吧:

http://www.shiyanbar.com(2017年刷过一遍,目前站一直更新)

**6、安恒周周练:**https://www.linkedbyx.com/home

7、XSS专练:https://xss.haozi.me/tools/xss-encode/

8、南京邮电大学CTF网络攻防训练平台: http://ctf.nuptzj.cn/

9、网络信息安全实验平台 http://hackinglab.cn/index.php

四、漏洞靶场

1. DVWA(必练):Web安全入门必刷的靶场,包含了最常见的web漏洞,界面简单易用,通过设置不同的难度,可更好地理解漏洞的原理及对应的代码防护

http://www.dvwa.co.uk

2. Sqli-Labs(必练):一个印度大神程序员写的,用来学习sql注入的一个游戏教程,目前65关,冲关过程中学注入。

https://github.com/Audi-1/sqli-labs

3. Upload-labs(必练):一个和sqli-labs类似的靶场平台,专门学习文件上传的,目前21关。

https://github.com/c0ny1/upload-labs

4. BWVS(老版本bugku的离线版)

https://github.com/bugku/BWVS

5. BWAPP:

https://sourceforge.net/projects/bwapp

6. WAVSEP:

https://github.com/sectooladdict/wavsep

7. VulnStack:

http://vulnstack.qiyuanxuetang.net/vuln

8. Webug 3.0:

https://pan.baidu.com/s/1eRIB3Se

9. Metasploitable:

https://github.com/rapid7/metasploitable3

10. DVWA-WooYun:

https://sourceforge.net/projects/dvwa-wooyun

11. OWASP Mutillidae:

https://sourceforge.net/projects/mutillidae

12. Web for Pentester:

https://www.pentesterlab.com/exercises/web_for_pentester

五、渗透实战靶场

1、Vulhub: (各种漏洞环境集合,一键搭建漏洞测试靶场)

https://vulhub.org/(在线版)

https://github.com/vulhub/vulhub(离线版)

2、vulnhub:(国外实战靶场,适合入门提高)

https://www.vulnhub.com/

3、vulnstack(红队实战靶场,域、横向渗透、多层网络,强烈推荐,目前共7个靶场,网上writeup齐全)

http://vulnstack.qiyuanxuetang.net/vuln/#

4、WebGoat(WEB漏洞测试和练习)

https://github.com/WebGoat/WebGoat

5、Web For Pentester(web漏洞检测技术)

https://www.pentesterlab.com

6、VulApps(快速搭建各种漏洞环境与安全工具环境)

http://vulapps.evalbug.com/

7、bWAPP(集成了各种常见漏洞和最新漏洞的开源Web应用程序)

http://www.itsecgames.com/

8、btslab(不同类型的Web应用程序漏洞)

https://github.com/CSPF-Founder/btslab/

9、pikachu(一个好玩的Web安全-漏洞测试平台)

https://github.com/zhuifengshaonianhanlu/pikachu

六、CTF工具包

CTF大赛, 俗话说“兵马未动,粮草先行”。打CTF手里的武器工具少不了,CTF比赛有些线下赛,不提供互联网环境,这就更需要开战前把工具包准备好了。

工具包目录如下文,文末有云盘下载链接(部分工具版本稍早,但都比较稳定)。

CTF工具包大合集目录如下:

工具包目录:

  1. 综合利用工具(包含菜鸟教程、w3cschool、各种API)

  2. 抓包工具

  3. 注入工具

  4. 隐写工具

  5. 提权工具

  6. 数据库工具

  7. 扫描工具

  8. 逆向工具(包含反编译工具)

  9. 内网工具

  10. 二进制工具

  11. 代理转发类工具

  12. 暴力破解工具

  13. 安装环境包(Java、python、php)

  14. XSS

  15. webshell

工具包目录

好了就写到这了,大家有任何问题也可以随时私信问我!希望大家不要忘记点赞收藏哦!

题外话

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

2023最全CTF入门指南(建议收藏)
m0_74131821的博客
05-23 3852
零基础入门CTF必看
CTF入门指南
baikeng3674的博客
02-05 5909
转自http://www.cnblogs.com/christychang/p/6032532.html ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web密码学pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据reverse 逆向windows...
CTF入门指南(0基础)
weixin_33874713的博客
04-11 3148
ctf入门指南     如何入门?如何组队?     capture the flag 夺旗比赛     类型:   Web 密码学 pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等 misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据 reverse 逆向windows、linux类 ppc 编程类的     国内外著名...
0基础小白怎么入门CTF,看这个就了(附学习笔记、靶场、工具包下载)
z099164的博客
06-24 4358
0基础小白怎么入门CTF,看这个就了(附学习笔记、靶场、工具包下载)
CTF 入门指导教程
12-04
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。
CTF指南--隐写术总结(非常详细)从零基础入门到精通,看完这一篇了_ctf 图片隐写光学成像
2401_86044342的博客
08-27 2257
binwalkBinwalk是一个固件的分析工具,多用于逆向工程、取证、隐写分析。更多…$ binwalk firmware.bin //最简单的操作$ binwalk --enable-plugin=zlib firmware.bin //有些签名无法识别,利用zlib插件扫描zlib压缩包可识别$ binwalk -y filesystem firmware.bin //指定字符串“filesystem”搜索(正则),-Y 输出结果只包含文本字符串。
CTF指南--隐写术总结(非常详细)从零基础入门到精通,看完这一篇了_ctf 图片隐写光学成像(1)
2401_84875912的博客
05-12 869
binwalkBinwalk是一个固件的分析工具,多用于逆向工程、取证、隐写分析。更多…$ binwalk firmware.bin //最简单的操作$ binwalk --enable-plugin=zlib firmware.bin //有些签名无法识别,利用zlib插件扫描zlib压缩包可识别$ binwalk -y filesystem firmware.bin //指定字符串“filesystem”搜索(正则),-Y 输出结果只包含文本字符串。
CTF全栈指南入门篇(万事屋小贱)完整版PDF最新版本
最新发布
12-01
CTF全栈指南入门篇》是一本针对初学者的入门教材,作者通过其丰富的实战经验和教学经历,以通俗易懂的方式介绍了CTF竞赛中所需的各项技能。该书特别注重实用性和系统性,从基础的Web安全和密码学到深入的逆向工程...
CTF指南--隐写术总结(非常详细)从零基础入门到精通,看完这一篇了_ctf 图片隐写光学成像(2)
2401_84875912的博客
05-12 297
binwalkBinwalk是一个固件的分析工具,多用于逆向工程、取证、隐写分析。更多…$ binwalk firmware.bin //最简单的操作$ binwalk --enable-plugin=zlib firmware.bin //有些签名无法识别,利用zlib插件扫描zlib压缩包可识别$ binwalk -y filesystem firmware.bin //指定字符串“filesystem”搜索(正则),-Y 输出结果只包含文本字符串。
ctf
tao546377318的博客
08-26 2503
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为
ctf入门手册.pdf
07-02
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。
CTF全栈指南(入门篇).pdf
01-01
CTF全栈入门CTF各类技能精通,web、逆向、pwn、密码学、杂项等等。 对新手更加友好,对CTF更加保存热情,
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结。
CTF入门指南1(Capture the flag)
syh_486_007的专栏
08-15 6799
英文教程:https://trailofbits.github.io/ctf/intro/careers.html1、逆向工程建议你得到一个IDA Pro的副本,这有免费版和学生认证书。尝试下crack me的问题。写出你的C语言代码,然后进行反编译。重复这个过程,同时更改编译器的选项和程序逻辑。在编译的二进制文件中“if”声明和“select”语句有什么不同?我建议你专注于一个单一的原始架构:x8
CTF入门
zhang_dashuai的博客
08-27 1742
《信息安全入门指南》 http://blog.jobbole.com/48738/ 就一点点开始吧。
CTF入门教程(非常详细)从零基础入门到竞赛,看这一篇了!
2401_82672634的博客
07-04 4588
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。MISC(安全杂项)
CTF入门教程(质量高)
ewq1212313的博客
03-07 1943
https://www.bilibili.com/video/BV1Ra411C7GQ?spm_id_from=333.999.0.0
ctf入门
赵花花08042的博客
06-03 410
ctf对我们的意义?? ctf类型 web网络安全 密码学:对算法的理解 程序逻辑分析,利用 杂:数据还原 逆向破解 编程 为什么打ctf===奥数 思维能力,快速学习能力,—》技术能力 可能两天内思维快速运转 可能会用到一个小众语言,一天内学习 如何入门–所需技能 重要元素:逆向,算法-------》数学 思想跳跃,推理 ctf比赛的分是很难的 赛题种类 web偏向发散思维,对底层能力要求不高 ida最重要 od工具 适合小白,最推荐《web应用安全权威指南 怎么学ctf
CTF入门
小叮当不懒的博客
04-10 843
CTF入门指南:https://www.ichunqiu.com/course/57517 入门基础 1.编程语言基础(C语言,汇编语言,脚本语言) 2.数学基础(算法,密码学) 3.脑洞大开(天马行空的想象,推理解密) 4.体力耐力(各种通宵熬夜不睡觉) 如何入门 1.恶补基础知识(有基础的跳过此步) 2.尝试从脑洞开始(hackgame) 3.从基础题目出发 4.学习信息安全专业知识 5.锻炼...
CTF入门指南:基础知识与工具解析
"ctf-all-in-one.pdf 是一本关于CTF竞赛和安全技术的综合教程,包含CTF入门知识、基础技术讲解,如Linux、Web安全、逆向工程、密码学以及Android安全等内容,并介绍了多种分析工具的使用,旨在帮助读者提升在网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值