网络空间安全竞赛基地以及数计CTF部入门
你好亲爱的学弟学妹:
欢迎来到网络空间安全竞赛基地以及 CTF 部,下面我们来介绍一下入门的事情。相信在前面的时候你们遭受过了很多关于看不懂群里在聊什么的困扰。那么我在这里详细介绍一下该怎么学习,怎么入门。
首先网络空间安全竞赛基地的主责是对自己进行技术的提升,包括但不限于参加竞赛,参加企业培训,考证,参加实际项目,以及最重要的自己专研与相互交流学习。
提前声明:这些方面和学校平常上课以及培养方案算是过于超前了。你需要平衡好学习与竞赛。当然也可以选择和老登一样不管学习,直接面向就业(也能获得不错的岗位)
入门:
首先需要学习的基本内容:
1.如何擅用网络,包括搜索,提问,魔法梯子,论坛
搜索:使用 Google,不会可以问 Copilot ,由于 Copilot 是联网的,所以你能通过它翻到一些资料,进资料里面查看,注意辨别内容真伪。
向他人提问:https://lug.ustc.edu.cn/wiki/doc/smart-questions/
梯子:找人进行领取
论坛:包括但不限于https://bbs.kanxue.com/
2.如何学习竞赛内容
好的,当你看到这里的时候,如果你是想加入我们并且现在在群里面,那么后面几条你可以先不看或者选看。你现在的目标是完成考核
首先你需要去看https://hello-CTF.com/HC_Start/
了解 CTF 大概是干什么的,其次看下面对应方向使用的工具,进行尝试安装,在安装方面无论有什么问题,都可以问!就是怕你不问,不过在问之前,建议自己先动手实操一遍。
简单的描述在 Hello-CTF,CTFWiki 等都有介绍,具体体验如何需要自行刷题验证
Web :范围广,无论是知识要求还是就业或是折磨,好玩
Crypto:算法,对加解密要求会多一些,写解密算法
Reverse:研究操作系统底层架构,反向还原程序执行逻辑
Pwn:深入,非常深入的一门学问,通过栈溢出等手段攻破服务,操控电脑
Misc:好玩。轻松愉快得入门,泥牛入海的进步,但对就业当安全运营看流量有帮助的。
然后是漫长的刷题,BuuCTF、NssCTF、Bugku、攻防世界、CTFshow、CTFhub、EDISEC 等等
目前招新阶段推荐是CTF各个方向都去了解,知道其是干什么的。后面的学习我们是会根据各位来选择某一方面或者几方面进行深入学习
在初学的时候,不会做题很正常,主要是讲题目思路的积累为主。
3.安全意识
不希望有人仍然使用生日号码当密码,参考https://evilcos.me/yinsi.html
新时代的安全需更甚
4.学会使用 Markdown 格式书写
使用 Typora 练习,或者其他支持 Markdown 语法的文档工具,比如语雀、飞书
5.使用 Linux 机器,如 Kali、Ubuntu,安装 VMware 然后装 Kali 的虚拟机
学习使用 Linux,在网上下载 VMware 、安装 Kali ,具体安装步骤网上都有,练习基本的 Linux 命令
6.使用浏览器插件
比如 HackBar 、沉浸式翻译、 SwitchOmega
7.了解从输入 URL 到页面加载完成过程中都发生了什么事情,网页编码
https://blog.csdn.net/qq_43650490/article/details/119463103
https://www.qianxingzhem.com/post-1499.html
8.熟悉网络配置并知道网络问题如何解决,Windows/Linux环境下动态IP获取与静态IP配置,DNS配置
安装完 Kalli 之后可以尝试练习
9.学会更合理地安排时间和任务
10.创建 GitHub 账号、创建自己的博客
通过梯子创建 GitHub 账号,通过 Hexo 、Butterfly 组合搭建个人博客,托管到GitHub平台上
11.一定一定创建自己的知识库
一定一定要
以上皆为入门建议,作为学习参考
另外我本想放在考核须知里的东西
加入我们的功利性好处: CTF 比赛拿的奖一样可以申请到第二课堂学分,综素分等等。甚至可以加入别的安全团队发起的联合战队,与全国各地的 CTFers 交流,与真正高手们一起学习。同时帮老师一起处理问题,混混眼熟,加加分。磨练自己技术上的同时,对保研以及就业都有好处,以及优秀学长在企业或者学院的资源。这些不是单从学校就可以获取的东西,也不是凭空出现的。都是我们前面的学长一代一代努力争取来的,期待你的到来( •̀ ω •́ )✧。(虽然功利地学不好,但还是放出来吸引更多的人吧)::>_<::
附加数计CTF部郭少东学长的web速学指南
15天web速学指南
[TOC]
1-5天:以最快的速度了解多门语言
第一天:
通过 W3School 以最快速度入门 HTML ,CSS 和 Javascript 语言。
建议:在本地写同样的代码并查看结果是否和教程的结果相同。
第二~四天:
下载并安装 PhpStudy。
通过 W3School 以最快速度入门 PHP ,并在本地复现每一个教程中的代码,强调:不要复制网页中的代码,要自己手打。如果出现的结果和网页中的结果相同,则继续学习。
如果有些语句无法理解其含义,那就无脑抄一遍并执行,看到结果即可。请自行安排学习时间,调整学习效率,以至于在第四天的时候可以将 PW3School PHP 部分的“PHP数据库”学习完。
第五天:
通过 W3School 学习 SQL 语言,了解 select/insert/update/delete ,以及 union select 的语法。
本地执行SQL语言的方法如下:
1.PhpStudy 开启,保证 MySQL 是开启状态。
2.进入 PhpStudy 安装目录 /MySQL/bin
3.在此处打开命令与提示符,或在其他地方打开 cd 到此处,输入mysql.exe -u root -proot,回车
4.输入 create database tuzishifuzhuishuaile; (注意句末有分号)并回车
5.输入 use tuzishifuzhuishuaile; 并回车
6-7天:SQL注入学习
第六天:
既然学会了 SQL语句,那就动手做一下 SQL注入 题目吧!但是做之前,除了知道 PHP 和 SQL语言以外,还需要知道 SQL注入是什么,怎么注入。
第七天:
我猜你可能会用一整天时间看SQL注入的视频教程,虽然短,但是你需要在本地自己操作一下。我觉得一天还是需要的。如果你可以在几个小时内搞定,那你肯定没有完全吸收。除非你是个学霸XD。
8天:各种工具的使用
第八天:
之后就需要一些工具啦,我这里推荐一些工具供你学习:
Python:请安装好。并将python加入到环境变量中,以至于在随处打开命令与提示符窗口输入python 都可以打开 Python,方法自行百度。
HackBar:这是一个 Firefox 浏览器的插件,对于修改 GET 和 POST 请求,用这个插件非常的方便,而且这个插件可以解码一些编码,比如 URL 编码, Base64 编码。(如果你并不知道上面提到的名词是什么,请百度学习一下)
BurpSuite:这是在做 Web 题目最最常用到的工具,工具的详细使用说明可以
为了做 Web 题目,只需要学习到第三章“数据拦截与控制”就可以了。
9天:学习各种概念
第九天到了为什么还没有开始继续做题呢?是因为还有一些概念不懂就没法做题。
那么下面给出一个你需要了解的概念的列表,你需要自己去百度查询到底这些是什么,这样下次别人滔滔不绝的时候起码能听懂他在说什么。如果你有精力,最好可以深入的学习一些这些东西,并自己实践一下。
1.URL 编码
2.HTML 编码
3.Base64 编码
4.数据包
5.HTTP 响应头,都有哪些,都是做什么的
6.GET 传参,POST 传参,怎么传参
7.HTTP 协议是什么
8.MD5 是什么
9.GitHub
10.WriteUp
11.WebShell
——以上是非安全概念,下面是安全概念—–
12.信息泄露/源码泄露
13.暴力破解
14.SQL 注入
15.XSS
16.CSRF
17.远程命令执行
18.代码执行
19.文件包含
20.任意文件上传/下载/删除
21.逻辑漏洞
——如果你心有余力,还可以了解一下下面的概念——
- XXE
23.SSRF
24.序列化漏洞/反序列化漏洞
25.变量覆盖
26.DDOS
27.CRLF
28.DNS协议
29.Apache/IIS/Tomcat/Nginx
是不是很吓人!这么长!别担心,这些都是一些概念,只需要你知道这是啥东西就可以了,而且从11下面的内容,即使你并不了解也没关系,因为后面也会学习到。
10-15 天:各种web安全漏洞
第10-15天
你终于弄明白了一大堆概念究竟是什么,现在终于可以开始学习安全漏洞,利用了!那么10到15天就是学习这些知识的时候了。
提示:所有的漏洞请务必在本地复现
1.SQL注入漏洞:sql-lab
2.文件包含:
3.逻辑漏洞:php 是弱语言,要注意常见的用于判断的函数:
4.变量覆盖与代码执行
暂无
5.代码审计:PHP-Audit-Labs
6.xss漏洞:xss-lab
7.csrf:
好吧,我承认上面可能要求太高了,五天大概率做不完。但如果你真的这么坚持下去了,相信我,你在新选手中肯定是TOP3
从此踏上CTF的不归路
郭少东
