PWN,Reverse:偏重對匯編,逆向的理解;
Gypto:偏重對數學,算法的深入學習;
Web:偏重對技巧沉淀,快速搜索能力的挑戰;
Mic:則更為復雜,所有與計算機安全挑戰有關的都算在其中
常規做法;
A方向:PWN+Reverse+Gypto,隨機搭配;
B方向:Web+Misc組合;
都要學的內容:
Linux基礎、計算機組成原理,操作系統原理,網絡協議分析;
A方向:
IDA工具使用(f5插件),逆向工程,密碼學,緩沖區溢出等
書籍推薦:
《RE for Beginners(逆向工程入門)》;
《IDA Pro權威指南》;
《揭秘家庭路由器0day漏洞挖掘技術》;
《自己動手寫操作系統》;
《黑客攻防寶典,系統實戰篇》;
B方向:
網絡安全,內網滲透,數據庫安全。
書籍推薦:
《Web應用安全權威指南》
《web前端黑客技術揭秘》
《黑客秘籍-滲透測試實用指南》
《黑客攻防技術寶典Web實戰篇》
《代碼審計:企業級Web代碼安全架構》
從基礎題目出發(推薦資源):
Idf實驗室:題目非常基礎:ctf.idf.cn
有線下決賽題目復現:www.ichunqiu.com
xctf題庫網站:oj.xctf.org.cn/
challs非常入門的國外ctf題庫:www.wechall.net/ 很多國內選手都是從這里刷題成長起來
非常入門的國外cif題庫:canyouhackit.it
(A方向):
很炫酷游戲化:https://microcorruption.com
比較簡潔的內容,ssh連入即可玩:smashthestack.org
比較老牌的Wargame:
overthewire.org
exploit-exercise.com
PWN類題目的游樂場:pwnable.kr
(B方向)
米安的Web漏洞靶場:ctf.moonsos.com/pentest/index.php
國外的XSS測試:prompt.ml/0
國外的sql注入的挑戰網站:redtiger.labs.overthewire.org
選擇什么工具:
CTF比賽一般都是使用網絡完全常用工具,比如burp、IDA等,但是會與很多大家不常見的工具。
這里我列舉一些聚合:
https://hithub.com/truongkma/ctf-tools
https://hithub.com/Plkachu/v0lt
https://hithub.com/zardus/ctf-tools
https://hithub.com/TUCTF/Tools
以練促賽:
選擇一場已經存在writeup的比賽。
以賽養練:
參加一場最新CTF比賽。
https://ctftime.org/國際比賽
http://www.xctf.org.cn/或內比賽
名次不重要,過程很重要!
【注】:
1、writeup指CTF比賽結題思路
2、以上內容來源於i春秋網站CTF入門指南系列視頻,原出處:https://www.ichunqiu.com/course/57519