ctf入门指南

如何入门?如何组队?

capture the flag 夺旗比赛

类型:

Web

密码学

pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等

misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据

reverse 逆向windows、linux类

ppc 编程类的

国内外著名比赛

国外:

国内:xctf联赛 0ctf上海国内外都有,很强

入门需要哪些基础:

1.编程语言基础(c、汇编、脚本语言)

2.数学基础(算法、密码学)

3.脑洞大开(天马行空的想象、推理解密)

4.体力耐力(通宵熬夜)

如何入门学

1.恶补基础知识

2.尝试从脑洞开始 如黑客game

3.从基础题出发 一般都是100,200,最高分在500,600 先把100分的学好,可从实践,高中的ctf学起,比较简单,只涉及1,2个点

4.学信息安全专业知识

5.锻炼体力耐力 周六日都有比赛

到底如何学?

1.分析赛题情况

2.分析自身能力 自己最适合哪个方向

3.选择更适合的入手

分析赛题

PWN、Reverse偏重对汇编、逆向的理解 对底层理解

Crypto偏重对数学、算法的深入学习 密码课要深入学

Web偏重对技巧沉淀、快速搜索能力的挑战 发散思维,对底层只需要了解,代码原理,关于漏洞点的积累

Misc则更复杂,所有与计算机安全挑战有关的都在其中 隐写,图片数据分析还原,流量,大数据,对游戏分析逆向

常规做法:

A方向:PWN+Reverse+Crypto随机搭配

B方向:Web+Misc组合

Misc所有人都可以做

入门知识:

都要学的内容:linux基础、计算机组成原理、操作系统原理、网络协议分析

A方向:IDA工具使用(fs插件)、逆向工程、密码学、缓冲区溢出等

B方向:Web安全、网络安全、内网渗透、数据库安全等 前10的安全漏洞

推荐书:

A方向:

RE for Beginners

IDA Pro权威指南

揭秘家庭路由器0day漏洞挖掘技术

自己定操作系统

黑客攻防技术宝典:系统实战篇 有各种系统的逆向讲解

B方向:

Web应用安全权威指南 最推荐小白,宏观web安全

Web前端黑客技术揭秘

黑客秘籍——渗透测试实用指南

黑客攻防技术宝典 web实战篇 web安全的所有核心基础点,有挑战性,最常规,最全,学好会直线上升

代码审计:企业级web代码安全架构

入门----从基础题目出发(推荐资源):

http://ctf.idf.cn !!!首推 idf实验室:题目非常基础,只1个点

www.ichunqiu.com 有线下决赛题目复现

http://oj.xctf.org.cn/xctf 题库网站,历年题,练习场,比较难

www.wechall.net/challs !!!!!!非常入门的国外ctf题库,很多国内都是从这里刷题成长起来的

http://canyouhack.it/ 国外,入门,有移动安全

https://microcorruption.com/login A方向 密码,逆向酷炫游戏代

http://smashthestack.org A方向,简洁,国外,wargames,过关

http://overthewire.ofg/wargames/ !!!!推荐A方向 国内资料多,老牌wargame

https://exploit-exercises.com A方向 老牌wargame,国内资料多

http://pawnable.kr/play.php pwn类游乐场,不到100题

http://ctf.moonsoscom/pentest/index.php B方向 米安的Web漏洞靶场,基础,核心知识点

http://prompt.ml/0 B方向 国外的xss测试

http://redtiger.labs.overthewire.org/ B方向 国外sql注入挑战网站,10关,过关的形式 不同的注入,循序渐近地练习

工具:

https://github.com/truongkma/ctf-tools

https://github.com/Plkachu/v0lt

https://github.com/zardus/ctf-tools

https://github.com/TUCTF/Tools

入门--以练促赛,以赛养练

选择一场已经存在writeup的比赛

总结解题过程,分析出题人想法

参加一场最新的ctf比赛

https://ctftime.org/ 国际比赛,有很多基础的

http://www.xctf.org.cn/ 国内比赛,比较难

组建团队---强力成员画像CTF入门指南CTF入门指南

1.思维跳跃:灵活性,不会钻墙脚

2.专注:遇到问题不放弃直到解决

3.耐力:连续一天研究技术

4.团队精神:责任、凝聚、分享

有3条为强力成员,有4条会成为强力队长!

组队问题:

新人招募、队员培养、梯队有序、纪律严格

总结自i春秋CTF入门指南

CTF入门指南(0基础)的更多相关文章

  1. CTF入门指南

    转自http://www.cnblogs.com/christychang/p/6032532.html ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: We ...

  2. [CTF] CTF入门指南

    CTF入门指南 何为CTF ? CTF(Capture The Flag)夺旗比赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式.CTF起源于1996年DEFCON全球黑客大会 ...

  3. _00017 Kafka的体系结构介绍以及Kafka入门案例(0基础案例+Java API的使用)

    博文作者:妳那伊抹微笑 itdog8 地址链接 : http://www.itdog8.com(个人链接) 博客地址:http://blog.csdn.net/u012185296 博文标题:_000 ...

  4. (笔记)CTF入门指南

    [考项分类] Web: 网页安全 Crypto: 密码学(凯撒密码等) PWN: 对程序逻辑分析 系统漏洞利用 Misc: 杂项 图片隐写 数据还原 脑洞类 信息安全有关的 Reverse: 逆向工程 ...

  5. kotlin 语言入门指南(一)--基础语法

    基于官网的Getting Start的基础语法教程部分,一共三节,这篇是第一节,翻译如下: 基础语法 定义一个包 包的声明必须放在文件头部: package my.demo import java.u ...

  6. CTF入门学习2->Web基础了解

    Web安全基础 00 Web介绍 00-00 Web本意是网,这里多指万维网(World Wide Web),是由许多互相连接的超文本系统组成的,通过互联网访问. Web是非常广泛的互联网应用,每天都 ...

  7. CTF入门(一)

    ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web密码学pwn 程序的逻辑分析,漏洞利用windows.linux.小型机等misc 杂项,隐写,数据还原 ...

  8. Docker 入门指南

    Docker 入门指南 目录 基础概念 安装教程 基本操作 常用安装 构建操作 容器编排 壹.基础概念 什么是Docker? Docker是基于Go开发的应用容器引擎,属于 Linux 容器的一种封装 ...

  9. web前端基础知识及快速入门指南

    web前端基础知识及快速入门指南 做前端开发有几个月了,虽然说是几个月,但是中间断断续续的上课.考试以及其它杂七杂八的事情,到现在居然一直感觉自己虽然很多前端的知识很眼熟,却也感觉自己貌似也知识在门口 ...

随机推荐

  1. iOS回顾笔记( 01 )

    html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,abbr,acronym,address,bi ...

  2. 每天一个Linux命令(14)--head命令

    head 与 tail 就像它的名字一样的浅显易懂,它是用来显示开头或结尾某个数量的文字区块,head 用来显示档案的开头至标准输出中,而 tail 想当然的就是查看档案的结尾啦. 1.命令格式: h ...

  3. 读书笔记 effective c++ Item 25 实现一个不抛出异常的swap

    1. swap如此重要 Swap是一个非常有趣的函数,最初作为STL的一部分来介绍,它已然变成了异常安全编程的中流砥柱(Item 29),也是在拷贝中应对自我赋值的一种普通机制(Item 11).Sw ...

  4. 对JavaScript中变量类型的重新理解

    <JavaScript启示录>这本书中提出:JavaScript中,对象为“王”(JavaScript里的几乎所有东西都是对象或者用起来像对象). 飞燕草对JavaScript最深刻的理解 ...

  5. BOM基础(四)

    最近写的文章感觉内容不像之前那么充实,内容可能也有点杂.对于DOM,和BOM来说,要理解是不难的,难的是做的时候.要自己想的到,而且,对于目前阶段来说,BOM还存在着很大的兼容性问题,最主要就是要兼容 ...

  6. 2017,科学使用strace神器(附代码,举栗子)

    我感到惊讶,都2017年了,几乎没有人知道他们可以使用strace的了解所有事情.它总是我拔出的第一个调试工具之一,因为它通常在我运行的Linux系统上可用,并且它可以用于解决各种各样的问题. 什么是 ...

  7. 基于requirejs+bluebird,50行代码实现轻巧实用的前端CMD加载器

    首先是github地址,可以用git克隆命令也可以直接在git页面下载 https://github.com/kazetotori/js-requireAsync 下载下来后目录结构是这样的 -pac ...

  8. Linux系统常用命令总结

    1. 最关键的命令 manecho 2. 目录文件操作命令 ls: 查看目录下的文件信息或文件信息dir:pwd: 打印当前路径cd:改变路径mkdir:创建路径rmdir:删除路径cp:拷贝文件或目 ...

  9. Spring还使用基于 JSR-250 注释,它包括 @PostConstruct, @PreDestroy 和 @Resource 注释

    @PostConstruct 和 @PreDestroy 注释: 你可以使用 @PostConstruct 注释作为初始化回调函数的一个替代,@PreDestroy 注释作为销毁回调函数的一个替代,其 ...

  10. OAuth2.0 知多少

    1. 引言 周末逛简书,看了一篇写的极好的文章,点击大红心点赞,就直接给我跳转到登录界面了,原来点赞是需要登录的. 可是没有我并没有简书账号,一直使用的QQ的集成登录.下面有一排社交登录按钮,我们可以 ...