簡單談一下一個小白進入CTF的辛酸歷程

Hello，大家好，在這篇文章中，想跟大家聊一聊站在學生的這個角度，我是怎么進入CTF圈子的。好了，廢話少說，我們直接進入正題。

首先，我們要了解什么是CTF，CTF全稱Capture The Flag，又叫奪旗賽，是一種流行的信息安全競賽形式，CTF比賽有兩種形式，一種是解題模式，另一種為攻防模式，其大致流程為，參賽團隊之間進行攻防對抗，程序分析等形式，率先從主辦方給出的比賽環境中得到一串具有一定格式的字符串或其他內容，並將其提交給主辦方，從而獲得分數，為了方便稱呼，我們把這樣的內容稱為flag。

其次，給出了CTF解題模式分為Web，Pwn（二進制），Reverse（逆向），Crypto（密碼），MISC（雜項）六大主要的題目類型，在這個模式下，是允許選手使用外網的，也就是說在這個模式可以利用一切可以利用的資源（不要掃描，攻擊服務器！！！）如可以百度，谷歌。而在CTF AWD（攻防）模式中，（一般都是一場大型的CTF的決賽）每個隊伍要維護多台服務器，服務器中存在多個漏洞，利用漏洞攻擊其他隊伍可以得分，恢復漏洞可以避免被其他隊伍攻擊失分，這是一個封閉的環境，不允許選手使用百度等等，考驗選手的臨場反應。（PS：這個聽上去就很爽，但是我沒打過55555）

CTF比賽采取動態積分的方式，例如一道題的分數為100分，第一個得到flag的選手會獲得150分，第二個就只會得到130分，依次遞減，直到降到最低分數80分，后面的選手得到flag都只會有80分的收入，所以在CTF中有搶一血的好習慣。（PS：wp可以理解為是答案的意思，一般比賽結束前主辦方會要求各隊撰寫wp並且提交）

第三，給大家簡單介紹一下各種題目的特點，首先是web，web最大的特點就是入門很簡單，但是精通極難，對知識面的要求，既要有廣度，又要有深度，同時還要有天馬行空的想象力，缺一不可。其次是Pwn ,這類題目一般都是拉分的，要求有一定的逆向能力，本人不是很精通，點到為止。第三是Reverse，這中題考查的是逆向思維，會給你一個文件，你要通過反匯編來清楚每段代碼什么含義，然后利用這些代碼將flag跑出來。第四是Crypto，簡單的話會單獨命題，但是現在CTF的一個趨勢就是將密碼同其他方向聯合出題，這個要求選手有一定的數學能力，需要寫一些代碼來實現。最后是Misc，這個太雜了，在這里套用高中老師的一句話：“多做題，做多了，自然就會了。”

好了，跟大家介紹了這么多，相信大家對CTF已經有了一些基本的了解，前方高能預警，我會給大家提供一些建議以及分享一些心得。

1）在一場CTF比賽中，題目難度最難的是Pwn和Reverse，其次是web，最后是密碼與雜項，所以可以考慮從哪個方向開始學習，也可以根據自身愛好出發，選擇方向。

2）刷題，作為CTF選手，刷題是必不可少的一個環節，但是從哪里開始刷題，所有的老師都會說先簡單后困難，建議大家從Bugku入手，這兩個題目比較簡單，適合新手。

3）學會使用一些基礎工具，例如VM虛擬機，kali LInux 的使用，在虛擬機上建立一個單獨的靶機，學習Python，PhpStudy的一些基本操作（不需要學的多好，但是一定要保證能看懂代碼）

4）建立一個屬於自己的博客，很多時候可以分享一些技術以及經驗，在得到他人幫助的同時盡可能幫助他人。

最后，想跟大家說一下這一年打CTF的一些心得，在我所參加的比賽中，初試一般會考一些CISSP的題目，經過初試之后進入解題模式，這個模式是一個工作量挺大的模式，一般都會持續8個小時以上，所以打CTF要有一定的耐心和毅力，如果你是純小白的話，有一個綜藝挺好看的，叫燃燒吧！天才程序員，這個講了一些基本的安全知識，好了，不打廣告了，在線下打完一場CTF之后，最大的感覺就是很通透，雖然結局不一定如願以償，但是在這個過程中我們收獲了一個叫成長的東西。

以下給大家列出了一些CTF的一些知識點以及CTF的一些刷題網站，祝願大家早日入圈。要是有什么問題的話可以隨時與我練習。

CTF的一些知識點：（PS：摘自CTFHub的技能樹）

Python PHP Java Linux

1）Web以及一些相關協議

a) 信息泄露

b) 密碼口令

c) SQL注入

d) XSS

e) 文件上傳

f) 命令執行

g) 代碼審計（PHP）

h) SSRF