CTF入门第一课

初入CTF的小白

首先，明确一个问题：CTF是用来干什么的呢？

1. 解题模式，解决网络技术安全挑战（即找flag）,提交后获得相应分值
2. 攻防赛模式：你去攻人家，人家也会来攻击你，你必须学会自保，同时也要找出他的 bug 进行攻击~！
3. 战争共享模式：参赛队伍互相出题挑战

 新手入门建议：

入门基础

编程语言基础（汇编、C/C++、脚本语言）
数学基础（主流程序算法、密码学知识）
脑洞大开（天马行空的想象、逻辑推理能力）
体力耐力毅力（吃嘛嘛香、身体倍棒、通宵熬夜、拿得起放得下）

 

如何入门

恶补基础知识
尝试从脑洞开始：如黑客game
从基础题出发：一般都是100、200，最高分在500、600，先把100分的学好，从实践初、中级的ctf学起，比较简单，只涉及1-2个知识点
学信息安全专业知识
锻炼体力耐力和毅力，周六日都有比赛

 

如何学ctf

分析赛题情况(属于哪一类涉及哪些知识点等)
分析自身能力，自己最适合哪个方向？(方向很重要，建议兴趣所致，有时也需为团队牺牲！！！)
选择更适合的入手(从低到高、由易入难)
研究历年经典的wp(writeup)

 

分析赛题
PWN、Reverse：偏重对汇编、逆向及底层核心的理解

Crypto：偏重对数学、算法的学习，密码学要深入学习

Web：偏重对技巧沉淀、快速搜索能力的挑战、发散性思维，对底层、代码原理只需要了解，相关漏洞知识的积累

Misc：偏重则更复杂，所有与计算机安全挑战有关的都在其中，隐写、图片数据分析还原、流量分析、大数据、游戏逆向分析等等

 

常规操作
A方向：PWN+Reverse+Crypto 随机搭配

B方向：Web+Misc组合

Misc所有人都可以做

入门知识

团队要学的内容：linux基础、计算机组成原理、操作系统原理、网络协议分析

A方向：IDA工具使用（fs插件）、逆向工程、密码学、缓冲区溢出等

B方向：Web安全、网络安全、内网渗透、数据库安全、top10的安全漏洞等

 

常用工具：

Hackbar (是一个浏览器插件)可以帮助我们测试SQL注入，XSS的漏洞

具体位置：点击鼠标右键，找到检查，若没有，点击右上方浏览器三个点，然后有个扩展，点击进去直接搜索Hackbar下载即可

温馨提示：要用火狐浏览器哈（我用360搜不到）

 

webshell管理工具

蚁剑（需要安装，创建一服务器，即可查到flag是啥）

哥斯拉

冰蝎

 

Burp Suite

自动化扫描Web漏洞

可以实行暴力破解

 

操作流程：

浏览器和服务器不再相互联系，而是通过中介媒介——burf来传达信息

需要下载phpStudy 和 DVWA