前言
因為我也不強,應該也沒資格說怎麼學比較好
所以目前不公開,就只給社員們看啦~反正不要看我的blog學就好,會瘋掉
- 最後更新:2024/1/27 ; 上次更新:2023/12/24
CTF v.s. reality ?
第一堂課有人問而且很重要所以就放在這了。
我們的資安比賽CTF跟現實世界的差異我認為在於領域的廣泛性和複雜點不同吧,CTF最主要的就五個類別(web, crypto, pwn, reverse engineering, misc…),可是現實世界還有像是滲透、工業控制、blablabla你想得到想不到的東西,這年頭跟資訊有關的東西都有它的資安,所以從CTF學資安和打比賽、大學申請加分完全ok,但偶爾看點現實世界的東西絕對不虧。
至於複雜性,CTF比賽通常是高複雜性但服務本身複雜度低,但現實世界(還有金盾獎),你要會RECON(偵查),從不同服務中找到攻擊點或攻擊鍊。
資源區
行前準備
- kali linux+vmware 安裝教學點我
- 學會基本linx指令 Linux Survival
- 先學一點點python: python 新手村
- 去看刑法 戳下去
C/C++學校都有教應該不用特別放,如果之後學深了要看一些演算法和數學。
還是要強調第四點,主要就是打滲透測試/弱點通報要注意,避免自己越線(
啊至於不做壞事應該是基本常識(應該…啦,很丟臉的)
綜合
picoCTF(新手從General Skills開始)
LoTuX CTF(pico摸到一定程度再來看,很多題目有官方解答)
SCIST 的影片
成大NCKUCTF
交大BAMBOOFOX
CTF WIKI
ICEDCTF(社團的,Crypto比較多,web和pwn沒有經費丟)
CTF TIME(看比賽用的)
新手絕對建議從picoCTF開始打(但是怪題有點多,熟練後去打LoTuXCTF),然後不會得按照題目名稱+picoCTF上網估狗幾乎都有解答
課程的話有興趣的SCIST的課程影片好像真的不錯,推。
類別
還是以CTF為主畢竟社團時間不多
網站安全
密碼學
逆向工程
帶漏洞服務
鑑識科學
雜項
滲透測試
web
易入門難精通
簡單來說就是跟你互動的那個網站相關的弱點
Port Swigger(分類詳細講解,強推)
Hacker101CTF(題目比較貼近現實,用來練習RECON和黑盒居多)
Wargames Natas
crypto
CryptoHack(打完應該就很夠了,其他就是去刷刷比賽題目)
有數學和演算法底子看應該會輕鬆很多。
rev
就是試著理解程式碼/執行檔的執行過程後去進行特殊的分析或操作。
由於講師不熟逆向工程,先把picoCTF打一打。
等你填坑
Frozenkp 逆向工程入門課
FLARE ON(Windows Reverse Challenges)
pwn
帶漏洞的服務,通常多跟二進制執行檔的弱點有關。
一定要先學rev再來學pwn
Frozenkp pwn入門到進階
ISIP課程題目,可以配合Frozenkp的影片
Frozenkp的講義
pwnable.tw(難度跳很快,頗難)
forensics
做任何方面的鑑識都算是forensics
像是圖片分析,硬碟復原,網路封包都算是常見的題目類型
等你填坑,一樣先pico
Blue Team CTF
misc
可能需要好幾個領域的知識去解的題目,也可能是罕見的東西
但通常會有點通靈
多拜拜(?)
PT
滲透測試就是用各種方法,盡可能去打進機器拿到RCE,提權。
通常跟web/pwn比較相關,也有可能會需要透過社交工程等等的手法,比較不具侷限性(?)
一般的CTF比賽比較少,但金盾獎有時候會有。
TryHackMe
Hack The Box
比賽
這邊以國內高中生可以打得為主。
金盾獎(每年下半年,算國內最重要賽事之一,初賽選擇題有點怪)
MyFirstCTF,每年五月左右,新手友善但只能考一次
AIS3 EOF(高階比賽,要跟大學生一起打,每年一月到二月左右)
資安女婕思(有性別限制qq,題目有夠水但聽說初賽很怪)
CGGC網路守護者挑戰賽(要跟大學生一起打)
T貓盃(怪?)
其他就CTF TIME上面看一看(
課程
這邊就放公開,教育部辦的(等於可以刷證書(X))
至於一些私人機構的課程 Emm… 我沒參加過也不好多做評論,但公開資源真的就可以學到很厲害了><
AIS3
台灣好厲駭
ISIP