1. 程式人生 > >(筆記)CTF入門指南

(筆記)CTF入門指南

def test tac 由器 還原 緩沖 遊戲化 隱寫 tao

【考項分類】
Web: 網頁安全
Crypto: 密碼學(凱撒密碼等)
PWN: 對程序邏輯分析 系統漏洞利用
Misc: 雜項 圖片隱寫 數據還原 腦洞類 信息安全有關的
Reverse: 逆向工程
PPC: 編程類

PWN、Reverse偏重對匯編、逆向的理解
Crypto偏重對數學、算法的深入學習
Web偏重對技巧沈澱、快速搜索能力的挑戰
Misc比較復雜,所有與計算機安全挑戰有關的都算在其中

【需要的基礎知識&信息安全專業知識】
A方向:PWN+Reverse+Crypto隨機搭配
IDA工具使用(f5插件)、逆向工程、密碼學、緩沖區溢出等

B方向:Web+Misc
網絡安全、內網滲透、數據庫安全等

公共部分:Linux基礎、計算機組成原理、操作系統原理、網絡協議分析

【推薦書籍】
A方向:
IDA pro權威指南(重要)
揭秘家庭路由器0day漏洞挖掘技術
RE for Beginners(逆向工程入門)
自己動手寫操作系統
黑客攻防技術寶典:系統實戰篇

B方向:
Web應用安全權威指南(適合小白入門對WEB安全進行宏觀的理解)
黑客攻防技術寶典 Web實戰篇
Web前端黑客技術揭秘
黑客秘籍-滲透測試實用指南
代碼審計:企業級Web代碼安全架構

【刷題網站】
http://ctf.idf.cn IDF實驗室,題目非常基礎(推薦)
http://www.ichunqiu.com i春秋 有線下決賽題目復現(推薦)
http://www.wechall.net/challs 非常入門的國外ctf題庫(推薦)
http://canyouhack.it
http://oj.xctf.org.cn/xctf

A方向:
http://microcorruption.com/login 酷炫遊戲化
http://smashthestack.org 比較簡潔的內容,SSH連入即可開始玩
http://overthewire.org/wargames 比較老牌的Wargame,國內資料多,writeup 在這裏:http://drops.wooyun.org/author/litao3rd

B方向:
http://redtiger.labs.overthewire.org 國外的SQL註入的挑戰網站(推薦)
http://ctf.moonsos.com/pentest/index.php 米安的WEB漏洞靶場

【CTF工具】
CTF比賽一般都是使用網絡安全常用工具,例如burp、IDA等
這裏列舉一些聚合:
https://github.com/truongkma/ctf-tools
https://github.com/Plkachu/v0lt
https://github.com/zardus/ctf-tools
https://github.com/TUCTF/Tools

【比賽種類】
國際:DEFCON資格賽
國內:XCTF聯賽
(XCTF包括RCTF福州站 ZCTF鄭州站 SSCTF西安站 BCTF北京站 0CTF上海站 SCTF成都站 WHCTF

武漢站 ABCTF杭州站 XCTF總決賽)

【學習方法】
以練促賽:選擇一場已經存在Writeup的比賽
以賽養練:參加一場最新CTF比賽
https://ctftime.org 國際比賽(包含一些比較基礎的比賽)
http://www.xctf.org.cn 國內比賽(國內主流,但題目大部分偏難)

(筆記)CTF入門指南