【2024最新】CTF入门教程(非常详细)从零基础入门到进阶,看这一篇就够了!_ctf教程

【2024最新】CTF入门教程(非常详细)从零基础入门到进阶,看这一篇就够了!_ctf教程一、CTF简介
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安

一、CTF简介

CTF(Capture The Flag)中文俗称“夺旗”,在网络安全领域,是指网络安全工程师之间的一种技术竞赛。 CTF起源于1996年DEFCON全球黑客大会,是早期黑客因技术竞争而实际互相攻击的一种替代方法。自发展以来,它已成为全球网络安全界流行的竞赛形式,2013年在全球举办了50多场国际CTF赛事。作为CTF赛制的发源地,DEFCON CTF是全球技术水平和影响力最高的CTF赛事,类似于CTF领域的“世界杯”。

二、CTF竞赛模式

**解题模式(Jeopardy):** 解题模式CTF竞赛系统允许参赛队伍通过互联网或现场网络参与。 CTF竞赛的这种模式类似于ACM编程竞赛或信息奥林匹克竞赛。技术挑战问题通常根据在线试验中使用的分数和时间进行排名。关键主题包括逆向工程、漏洞挖掘和利用、网络入侵、密码、取证、隐写术、安全编程和其他类别。 **攻防模式:** 攻防模式在CTF赛制中,参赛队伍在网络空间中相互攻击和防御,探索网络服务中的漏洞,通过攻击对手的服务、修复和避免漏洞来获得积分。在他们自己的服务中。一个失分点。攻防兼备的CTF赛制是一种竞技性强、娱乐性强、透明度高的网络安全赛制,在比分中实时反映比赛情况,最终比分直接决定胜负。这种赛制不仅需要参赛运动员的智力和技术,还需要体力(比赛通常持续48小时以上),以及团队之间的分工和合作。 **混合模式(Mix):** 结合解题模式和攻防模式的CTF赛制。例如,参赛队伍可以通过解决问题来获得初始分数,玩零和游戏。通过攻防对抗来增加或减少分数,最终以分数高低决定胜负。典型的混合模式CTF赛制是iCTF国际CTF大赛。

三、CTF各大题型简介

https://www.runoob.com/https://www.w3school.com.cn/

技能要求:

您可以创建简单的表单,通过js检索DOM元素,并控制DOM树。

四、CTF学习路线

我们建议使用phpstudy 进行可靠安装,避免走很多弯路。通过apache+php体验网站后端的工作原理。客户端浏览器请求Apache服务器上的php脚本,执行php后生成的html页面返回给浏览器进行解析。

专注于理解PHP

推荐材料:

https://www.runoob.com/https://www.w3school.com.cn/

技能要求:

了解基本网站原理,了解基本PHP语法,开发简单的动态页面。

4.1、初期

使用之前安装的phpstudy就可以轻松安装Mysql。 MySQL是典型的关系型数据库。一般来说,大多数网站都有一个数据库来存储数据。

重点理解SQL语句

推荐材料:

https://www.runoob.com/https://www.w3school.com.cn/

技能要求:

可以使用SQL语句实现增删改查,可以使用php+mysql开发增删改查管理系统(如学生管理系统)。

1、html+css+js(2-3天)

虽然“php是最好的语言”,但它主要用于服务器端网站开发。如果您从事安全工作,您经常需要编写脚本和工具来执行密码爆破、目录扫描和攻击自动化等操作。你需要一种方便又方便的编程语言,比如。这里推荐Python。

我们将重点学习三个库:requests、BeautifulSoup 和re。

推荐教材

https://www.runoob.com/https://www.w3school.com.cn/

技能要求:

了解基本的Python语法,能够使用Python爬取网站上的信息(request + BeautifulSoup + re)

2、apache+php (4-5天)

市面上有很多网络安全工具,但我认为这是一个必不可少的入侵工具。

我们将重点学习三个模块:Proxy、Repeater、Intruder。它们分别用于数据包捕获和释放、数据包重放和爆破。

初期使用,在中期漏洞学习过程中逐渐熟练。

推荐教材

DVWA暴力破解

技能要求:

burpsuite 允许您捕获数据包、修改数据包以及炸毁用户名和密码。

3、mysql (2-3天)

至此,我们对网站已经不再陌生,可以自己完成一个简单的网站了。但我们编写的代码真的安全吗?当我们进入中期时,我们必须开始关注经典的漏洞研究。

要研究漏洞,您需要了解三件事(每次研究完漏洞后问自己这三个问题):

如何利用此漏洞? 为什么会出现此漏洞? 如何修复此漏洞?

4、python (2-3天)

我们的网络狗了解到的第一个漏洞通常是SQL 注入,这是网络安全经典中的经典,至今仍然存在。它总是源自nosql注入和ORM注入之类的东西,这使得它很难防御。

推荐材料:

sqli-labs:网上有很多关于如何使用它的教程。 WP的很多大牛也在这里撰文发帖:https://blog.csdn.net/wang_624/article/details/101913584sqlmap:SQL注入神器。如果你有时间,可以看看它的源代码。了解SQL 注入以及一些自动化注入的好主意。 buuctf:查找相关真题,搜索wp。 [极客挑战2019] EasySQL [极客挑战2019] LoveSQL [SUCTF 2019] EasySQL

技能要求:

您可以从任何表手动插入数据,熟悉三种盲注入技术,可以通过SQL注入读写任何文件,并且可以在不使用SQL注入的情况下创建查询函数。

5、burpsuite (1-2天)

Webshell是一种可以执行代码的木马

文件上传实际上就是上传一个web shell到目标服务器并成功解析它,从而找到一种方法来达到控制目标服务器的目的。这也是网络安全的重要组成部分。

推荐教材

Upload-labs:涵盖几乎所有上传漏洞类型。 buuctf:找到相关真题进行练习(【ACTF2020新人大赛】上传)好用的web shell管理工具:蚁剑

技能要求:

能够编写PHP web shell,了解web shell原理,熟悉常见的文件上传绕过方法(后缀检测、文件头检测、MIME类型检测等)并具备无漏洞上传功能。

4.2、中期

上述两个漏洞涵盖了Web应用程序的代码执行、文件操作、数据库操作等主要内容,是初学者应该掌握的最典型的漏洞。然而,网络安全领域仍然存在许多漏洞需要调查。不过,一旦你了解了这两个漏洞,你就可以轻松地了解其他漏洞,并且不会像以前那样令人困惑。首先。

以下四个是中期需要克服的漏洞。

命令执行(RCE):PHP常用代码执行(eval)、命令执行(系统)功能文件包括:文件协议、PHP伪协议利用操作;

1、SQL注入(7-8天)

至此,您已经熟悉了一些主要的网络安全漏洞,并且已经有了练习CTF 题的经验。您已经有资格成为CTFfer。恭喜。成功启动网络安全。之后你想如何学习可能由你决定,但我在这里只是给你一些建议。

参加CTF活动

参加当前的CTF赛事是初学者找到适合自己能力的赛事的最佳途径之一。极客挑战赛、UNCTF以及各种大学新生竞赛都是不错的选择。一个良好的学习周期,让你在比赛中发现自己的知识差距,并相应地补充你的知识。你不必在混乱中到处获取知识,你必须在需要的时候学习。

Tips: 可能有人认为直接答题是一样的,但目前大赛的很多题目都是前沿的、热门的,所以可以查看最新的CTF题目趋势,了解技术热点。多参与CTF比赛氛围,成长更快。

ctfhub:轻松查看近期CTF活动

阅读更多其他大师的博客

CTF 竞赛结束后,你一定会想阅读这篇文章(答案)。一般来说,很多高手都会在比赛结束后几天就发文章。您可以通过大赛群、百度等渠道找到。看看其他高手的解题思路,关注一些名人,阅读他们发表的技术文章,都是很好的学习方法。

2、文件上传(7-8天)

3、其他漏洞(14-15天)

BUUCTF

举办众多比赛的重演环境。国内首个采用动态靶标无人机的CTF再现平台。我们举办各种开放竞赛,提供全面的开源环境。

CTF 中心

历届各类比赛的论文现在更加系统化,技能树更加完整,CTF工具集更加完整,赛事日历更加完整,还有WriteUp

巴古克

国内早期的CTF复制平台(buu、ctfhub还没流行的时候,Bugku就出名了) WriteUp涵盖了更基础、更全面的主题

可供购买

题目适合Pwn初学者,比较友好。

Defcon CTF

全球顶级CTF赛事主赛+外卡决赛与DEF CON同步举行

CTF时间

全面的国际CTF赛事信息,全面的CTF战队信息,更权威的CTF战队排名。重大事件写入重大事件日历

BUUCTF

我已经说过了,不再重复。

XCTF国际联赛

中国最快的CTF联赛。这是中国首次在海外举办CTF赛事,部分学校提供积分和保读研究生。

不同的比赛太多了,这里就不一一列举了,前期可以参加一些学校比赛和小型比赛,后期可以晋级iSpring和Autumn,XCTF,以及各种CTFTime比赛,可以直接参加国际比赛。比赛。

4.3、后期

五、CTF学习资源

预言社区:https://xz.aliyun.com。雪见论坛:bbs.pediy.com/。安泉客:anquanke.com/.FreeBuf freebuf.com/。 P神博客leavesongs.com/。代码auditt.zsxq.com/UrJiUBY · 漏洞百出st.zsxq.com/fEmluBe.CTFWP@Nu1 lt.zsxq.com/JluJi23

5.1、CTF赛题复现平台

5.2、赛事与资讯

周大福维基百科

对CTF比赛有深入的了解。高质量的CTF赛题和全面的学习路径。它完全开源,可以离线部署。

0到1: CTFe增长路径

Nu1L团队整理了一条涵盖CTF各个方向的学习路径。团队协作、共享管理经验

CTF特训营

FlappyPig汇集了常见的CTF解题技巧和各种竞技模式技巧

白帽谈论网络安全

这是一本经典的入门网书,学习CTF之前必读。

加密与解密(第四版)

逆向工程入门必读书籍,带你实战,带你实战,买就对了。

5.3、博客与论坛

学前思考:赛题分析

PWN和Reserve侧重于理解组装和逆向工程,Web编程挑战侧重于技能积累和快速搜索能力,所有计算机安全挑战都包含在内。

一般方法

方向A:PWN+Reserver+Crypto的随机组合方向B:Web+其他组合

事实上,任何人都可以做其他事情

用信息安全专业知识补充基础知识

推荐书籍:

方向:

RE(逆向工程)初学者入门IDA Pro权威指南揭秘家庭路由器零日漏洞挖掘技巧DIY操作系统黑客攻防指南:实战你的系统

B方向:

Web应用安全作者指南Web前端黑客技术揭秘黑客秘密——渗透测试指南黑客攻防指南WEB实践代码审计:企业级Web代码安全架构

为了更好地学习网络安全,我们准备了入门和进阶的网络安全学习资料。即使没有编程知识,内容也很容易理解。是的,所有信息总共282G。如果您想要全套网络安全入门+进阶学习资源包,点击免费领取(扫描二维码有问题请在评论区留言领取)~

《网络安全入门+进阶学习资源包》 ************************************************** ****** * * **************CSDN大礼包:《黑客网络安全入门进阶学习资源包》免费分享******************** ***** * *************************************

网络安全(Heike 的红蓝冲突) 了解各个方向的路线

对于刚接触网络安全的学生,我们创建了详细的学习和成长路线图。这可以说是最科学、最系统的学习路线。每个人都可以遵循这个大方向。

学习材料工具包

盒子底部的丰富资源全面深入地介绍了基础网络安全理论,包括逆向工程、八层网络防御、汇编语言、白帽网络安全、密码学、网络安全协议等。它被集成到.主流工具的基础理论与应用实践。帮助读者了解各种主流工具背后的实现机制。

网络安全源码合集+工具包

视频教程

面试问题信息

我们的专用频道收集了京东、360、天融信等公司的试题。大工厂的入口就在拐角处!

如果你的朋友想要整套网络安全入门+进阶学习资源包,点击免费领取(如果扫码遇到困难),评论区留言即可)~

黑客/互联网安全流行率:************************************************ ********** * ******************CSDN大礼包:《黑客网络安全入门进阶学习资源包》免费分享**************** ********************** * ************************** **************

对于从事网络安全的人来说,这个庞大的网络规模堪比宇宙,作为这个连接世界的庞大网络的守护者,他们一定心存敬畏。

# 就这样了【2024最新】CTF入门教程(超详细)从基础零到进阶,看这篇文章就对了! _ctf教程相关内容摘自网络,供大家参考。相关信息请参见官方公告。

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92721.html

Like (0)
CSDN的头像CSDN
Previous 2024年6月28日
Next 2024年6月28日

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注