CTF入门教程（非常详细）从零基础入门到竞赛，看这一篇就够了！（ctf初学者入门）

一、CTF简介

CTF（Capture The Flag）中文俗称“夺旗”，在网络安全领域，是指网络安全工程师之间的一种技术竞赛。 CTF起源于1996年DEFCON全球黑客大会，是早期黑客因技术竞争而实际相互攻击的一种替代方法。自发展以来，它已成为全球网络安全界流行的竞赛形式，2013年在全球举办了50多场国际CTF赛事。作为CTF赛制的发源地，DEFCON CTF是全球技术水平和影响力最高的CTF赛事，类似于CTF领域的“世界杯”。

二、CTF竞赛模式

**解题模式（Jeopardy）：** 解题模式CTF竞赛系统允许参赛队伍通过互联网或现场网络参与。 CTF竞赛的这种模式类似于ACM编程竞赛或信息奥林匹克竞赛。解决网络安全技术挑战问题根据分数和时间进行排名，通常用于在线试验。关键主题包括逆向工程、漏洞挖掘和利用、网络入侵、密码、取证、隐写术、安全编程和其他类别。

**攻防模式：** 攻防模式在CTF赛制中，参赛队伍在网络空间中互相攻击和防御，探索网络服务的漏洞，通过攻击对手的服务来获得积分，修复和防御自己的漏洞。自己的服务。一个失分点。攻防兼备的CTF赛制是一种竞技性强、娱乐性强、透明度高的网络安全赛制，在比分中实时反映比赛情况，最终直接根据比分决定胜负。这种竞赛制度不仅需要参赛运动员的智力和技术，还需要体力（比赛通常持续48小时以上），以及团队之间的分工和合作。

**混合模式（Mix）：** 结合解题模式和攻防模式的CTF赛制。例如，参赛队伍可以通过解决问题获得初始分数，玩零和游戏。通过攻防对抗来增加或减少分数，最终以分数高低决定胜负。典型的混合模式CTF赛制是iCTF国际CTF大赛。

三、CTF各大题型简介

https://www.runoob.com/https://www.w3school.com.cn/

技能要求：

您可以创建简单的表单，通过js检索DOM元素，并控制DOM树。

2.apache+php（4-5天）

我们建议使用phpstudy 进行可靠安装，避免走很多弯路。通过Apache+php 体验网站后端的工作原理。客户端浏览器请求Apache服务器上的php脚本，执行php后生成的html页面返回给浏览器进行解析。

专注于理解PHP

推荐材料：

https://www.runoob.com/https://www.w3school.com.cn/

技能要求：

了解基本网站原理，了解基本PHP语法，开发简单的动态页面。

3.mysql（2-3天）

使用之前安装的phpstudy就可以轻松安装Mysql。 MySQL是典型的关系型数据库。一般来说，大多数网站都有一个数据库来存储数据。

重点理解SQL语句

推荐材料：

https://www.runoob.com/https://www.w3school.com.cn/

技能要求：

可以使用SQL语句实现增删改查，可以使用php+mysql开发增删改查管理系统（如学生管理系统）。

4.Python（2-3天）

虽然“php是最好的语言”，但它主要用于服务器端网站开发。如果您从事安全工作，您经常需要编写脚本和工具来执行密码爆破、目录扫描和攻击自动化等操作。这里推荐Python作为一种方便的编程语言。

我们将重点学习三个库：requests、BeautifulSoup 和re。

推荐教材

https://www.runoob.com/https://www.w3school.com.cn/

技能要求：

了解基本的Python语法，能够使用Python爬取网站上的信息（request + BeautifulSoup + re）

5.打嗝甜（1-2天）

市面上有很多网络安全工具，但我认为这是一个必不可少的入侵工具。

我们将重点学习三个模块：Proxy、Repeater、Intruder。它们分别用于数据包捕获和释放、数据包重放和爆破。

初期使用，在中期漏洞学习过程中逐渐熟练。

推荐教材

DVWA暴力破解

技能要求：

burpsuite 允许您捕获数据包、修改数据包以及炸毁用户名和密码。

四、CTF学习路线

至此，我们对网站已经不再陌生，可以自己完成一个简单的网站了。但我们编写的代码真的安全吗？当我们进入中期时，我们必须开始关注经典漏洞研究。

要研究漏洞，您需要了解三件事（每次研究完漏洞后问自己这三个问题）：

如何利用此漏洞？ 为什么会出现此漏洞？ 如何修复此漏洞？

1. SQL注入（7-8天）

我们的网络狗学到的第一个漏洞通常是SQL 注入。这是网络安全经典中的经典，也是这里无处不在的口号。 SQL注入仍然存在。它也总是源自诸如nosql 注入和ORM 注入之类的东西，因此很难防范。

推荐材料：

sqli-labs：网上有很多关于如何使用它的教程。另外，WP 中的许多优秀人士都创建并发布了https://blog.csdn.net/wang_624/article/details/101913584sqlmap：SQL 注入工件。如果你有时间，可以看看它的源代码。了解SQL 注入以及一些自动化注入的好主意。 buuctf：查找相关真题，搜索wp。 [极客挑战2019] EasySQL [极客挑战2019] LoveSQL [SUCTF 2019] EasySQL

技能要求：

您可以从任何表手动插入数据，熟悉三种盲注入技术，可以通过SQL注入读写任何文件，并且可以在不使用SQL注入的情况下创建查询函数。

2. 文件上传（7-8天）

Webshell是一种可以执行代码的木马

上传文件实际上就是上传一个web shell到目标服务器并解析成功，从而找到一种方法来达到控制目标服务器的目的。这也是网络安全的重要组成部分。

推荐教材

Upload-labs：涵盖几乎所有上传漏洞类型。 buuctf：找到相关真题进行练习（【ACTF2020新人大赛】上传）好用的web shell管理工具：蚁剑

技能要求：

能够编写PHP web shell，了解web shell原理，熟悉常见的文件上传绕过方法（后缀检测、文件头检测、MIME类型检测等）并具备无漏洞上传功能。

3.其他漏洞（14-15天）

上述两个漏洞涵盖了Web应用程序的代码执行、文件操作、数据库操作等主要内容，是初学者应该掌握的最典型的漏洞。然而，网络安全领域仍然存在许多漏洞需要调查。不过，一旦你了解了这两个漏洞，你就可以轻松地了解其他漏洞，并且不会像以前那样令人困惑。首先。

以下四个是中期需要克服的漏洞。

命令执行（RCE）：PHP常用的代码执行（eval）和命令执行（系统）功能文件包括：文件协议、利用PHP伪协议的操作；

4.1、初期

至此，您已经熟悉了一些主要的Web安全漏洞，并且已经有了练习CTF题的经验。您已经有资格成为CTFfer。恭喜。成功启动网络安全。之后你想如何学习可能由你决定，但我在这里只是给你一些建议。

参加CTF活动

参加当前的CTF赛事是初学者找到适合自己能力的赛事的最佳途径之一。极客挑战赛、UNCTF以及各种大学新生比赛都是不错的选择。一个良好的学习周期，让你在比赛中发现自己的知识差距，并相应地补充你的知识。你不必到处乱来获取知识，你需要在需要的时候学习。

Tips: 有些人可能认为直接回答问题是一样的，但其实不然。当前赛题往往都是前沿且热门的，让您了解最新CTF题目趋势，追踪技术热点。多参与CTF比赛氛围，成长更快。

ctfhub：轻松查看近期CTF活动

阅读更多其他大师的博客

完成CTF 竞赛后，您一定会想阅读这篇文章（答案）。一般很多高手都是从大赛组、百度等渠道提交文章。多看其他大师的解题思路，关注一些名人，阅读他们发表的技术文章，都是很好的学习方法。

4.2、中期

4.3、后期

BUUCTF

举办众多比赛的重现环境。国内首个采用动态靶标无人机的CTF再现平台。我们举办各种开放竞赛，提供全面的开源环境。

CTF 中心

历届各类比赛论文、更结构化的技能树、更完整的CTF工具集、更完整的赛事日历、更完整的比赛WriteUp

巴古克

国内早期的CTF复制平台（buu、ctfhub还没流行的时候，Bugku就出名了） WriteUp涵盖了更基础、更全面的主题

可供购买

题目比较适合Pwn初学者入门，比较友好。

五、CTF学习资源

Defcon CTF

全球顶级CTF赛事主赛+外卡决赛与DEF CON同步举行

CTF时间

全面的国际CTF赛事信息，全面的CTF战队信息，更权威的CTF战队排名。主要事件WriteUp 主要事件日历

BUUCTF

我已经说过了，不再重复。

XCTF国际联赛

中国最快的CTF联赛。这是中国首次在海外举办CTF赛事，部分学校提供积分和保读研究生。

不同的比赛太多了，这里就不一一列举了，前期可以参加一些学校比赛和小型比赛，后期可以晋级iSpring和Autumn，XCTF，以及各种CTFTime比赛，可以直接参加国际比赛。比赛。

5.1、CTF赛题复现平台

预言社区：https://xz.aliyun.com。雪见论坛：bbs.pediy.com/。安泉客：anquanke.com/.FreeBuf freebuf.com/。 P神博客leavesongs.com/。代码auditt.zsxq.com/UrJiUBY · 漏洞百出st.zsxq.com/fEmluBe.CTFWP@Nu1 lt.zsxq.com/JluJi23

5.2、赛事与资讯

周大福维基百科

对CTF比赛有深入的了解。高质量的CTF赛题和全面的学习路径。它完全开源，可以离线部署。

0到1: CTFe增长路径

Nu1L团队整理了涵盖CTF各个方向的学习路径。团队协作、共享管理经验

CTF特训营

FlappyPig汇集了常见的CTF解题技巧和各种竞技模式技巧

白帽谈论网络安全

这是一本经典的入门网书，学习CTF之前必读。

加密与解密（第四版）

逆向工程入门必读书籍，带你实战，带你实战，买就对了。

5.3、博客与论坛

学前思考：赛题分析

PWN和Reserve侧重于理解组装和逆向工程，Web编程挑战侧重于技能积累和快速搜索能力，所有计算机安全挑战都包含在内。

一般方法

方向A：PWN+Reserver+Crypto的随机组合方向B：Web+其他组合

事实上，任何人都可以做其他事情

用信息安全专业知识补充基础知识

推荐书籍：

方向：

RE（逆向工程）初学者入门IDA Pro权威指南揭秘家用路由器零日漏洞挖掘技巧DIY操作系统黑客攻防指南：实战你的系统

B方向：

Web应用安全作者指南Web前端黑客技术揭秘——渗透测试指南黑客攻防手册WEB实践代码审计：企业级Web代码安全架构

5.4、书籍推荐

当然，只给出方案而不给出教材，无异于耍流氓。 ### 如果您有兴趣开始网络安全，请单击此处。 CSDN礼包：《黑客网络安全入门进阶学习资源包》免费分享。

如果您对网络安全感兴趣，我们的学习资源免费共享，并保证完全免费。 （Heyke入门教程）

全套网络安全（Heyke）学习视频

通过看视频学习的时候，理解并运用它们，而不是仅仅动动眼睛、动动脑袋，才是更科学的学习方法。

六、最后

对于刚接触网络安全的学生，我们创建了详细的学习和成长路线图。这可以说是最科学、最系统的学习路线。每个人都可以遵循这个大方向。

学习资料分享

盒子底部的最佳资料，全面介绍了基础网络安全理论，包括逆向工程、八层网络防御、汇编语言、白帽网络安全、密码学、网络安全协议等等，涵盖了基础知识。紧密结合理论。理论和主流工具的应用实践。帮助读者了解各种主流工具背后的实现机制。

面试问题信息

我们的专用频道收集了京东、360、天融信等公司的试题。大工厂的入口就在拐角处！

网安（嘿客红蓝对抗）所有方向的学习路线****

工欲善其事，必先利其器。学习黑客常用的开发软件都在这里了，节省了大家很多时间。

学习资料工具包

如果您对网络安全入门感兴趣，点击这里领取您的CSDN礼包：《黑客网络安全入门进阶学习资源包》 免费分享

#CTF入门教程（很详细）上面，从基础入门到比赛，看这篇文章就可以了。相关内容来源网络仅供参考。相关信息请参见官方公告。