CTF小白绪论

简单谈一下一个小白进入CTF的辛酸历程

Hello，大家好，在这篇文章中，想跟大家聊一聊站在学生的这个角度，我是怎么进入CTF圈子的。好了，废话少说，我们直接进入正题。

首先，我们要了解什么是CTF，CTF全称Capture The Flag，又叫夺旗赛，是一种流行的信息安全竞赛形式，CTF比赛有两种形式，一种是解题模式，另一种为攻防模式，其大致流程为，参赛团队之间进行攻防对抗，程序分析等形式，率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容，并将其提交给主办方，从而获得分数，为了方便称呼，我们把这样的内容称为flag。

其次，给出了CTF解题模式分为Web，Pwn（二进制），Reverse（逆向），Crypto（密码），MISC（杂项）六大主要的题目类型，在这个模式下，是允许选手使用外网的，也就是说在这个模式可以利用一切可以利用的资源（不要扫描，攻击服务器！！！）如可以百度，谷歌。而在CTF AWD（攻防）模式中，（一般都是一场大型的CTF的决赛）每个队伍要维护多台服务器，服务器中存在多个漏洞，利用漏洞攻击其他队伍可以得分，恢复漏洞可以避免被其他队伍攻击失分，这是一个封闭的环境，不允许选手使用百度等等，考验选手的临场反应。（PS：这个听上去就很爽，但是我没打过55555）

CTF比赛采取动态积分的方式，例如一道题的分数为100分，第一个得到flag的选手会获得150分，第二个就只会得到130分，依次递减，直到降到最低分数80分，后面的选手得到flag都只会有80分的收入，所以在CTF中有抢一血的好习惯。（PS：wp可以理解为是答案的意思，一般比赛结束前主办方会要求各队撰写wp并且提交）

第三，给大家简单介绍一下各种题目的特点，首先是web，web最大的特点就是入门很简单，但是精通极难，对知识面的要求，既要有广度，又要有深度，同时还要有天马行空的想象力，缺一不可。其次是Pwn ,这类题目一般都是拉分的，要求有一定的逆向能力，本人不是很精通，点到为止。第三是Reverse，这中题考查的是逆向思维，会给你一个文件，你要通过反汇编来清楚每段代码什么含义，然后利用这些代码将flag跑出来。第四是Crypto，简单的话会单独命题，但是现在CTF的一个趋势就是将密码同其他方向联合出题，这个要求选手有一定的数学能力，需要写一些代码来实现。最后是Misc，这个太杂了，在这里套用高中老师的一句话：“多做题，做多了，自然就会了。”

好了，跟大家介绍了这么多，相信大家对CTF已经有了一些基本的了解，前方高能预警，我会给大家提供一些建议以及分享一些心得。

1）在一场CTF比赛中，题目难度最难的是Pwn和Reverse，其次是web，最后是密码与杂项，所以可以考虑从哪个方向开始学习，也可以根据自身爱好出发，选择方向。

2）刷题，作为CTF选手，刷题是必不可少的一个环节，但是从哪里开始刷题，所有的老师都会说先简单后困难，建议大家从Bugku入手，这两个题目比较简单，适合新手。

3）学会使用一些基础工具，例如VM虚拟机，kali LInux 的使用，在虚拟机上建立一个单独的靶机，学习Python，PhpStudy的一些基本操作（不需要学的多好，但是一定要保证能看懂代码）

4）建立一个属于自己的博客，很多时候可以分享一些技术以及经验，在得到他人帮助的同时尽可能帮助他人。

最后，想跟大家说一下这一年打CTF的一些心得，在我所参加的比赛中，初试一般会考一些CISSP的题目，经过初试之后进入解题模式，这个模式是一个工作量挺大的模式，一般都会持续8个小时以上，所以打CTF要有一定的耐心和毅力，如果你是纯小白的话，有一个综艺挺好看的，叫燃烧吧！天才程序员，这个讲了一些基本的安全知识，好了，不打广告了，在线下打完一场CTF之后，最大的感觉就是很通透，虽然结局不一定如愿以偿，但是在这个过程中我们收获了一个叫成长的东西。

以下给大家列出了一些CTF的一些知识点以及CTF的一些刷题网站，祝愿大家早日入圈。要是有什么问题的话可以随时与我练习。

CTF的一些知识点：（PS：摘自CTFHub的技能树）

Python PHP Java Linux

1）Web以及一些相关协议

a) 信息泄露

b) 密码口令

c) SQL注入

d) XSS

e) 文件上传

f) 命令执行

g) 代码审计（PHP）

h) SSRF