CTF 学习计划(冲刺)

去年,为了准备一个今年的CTF比赛做了一个学习计划,没想到今年这个比赛了无音讯。这个计划时间上应该是很赶的,当初是在有一定的基础后,为结构化学习做的安排。

时间安排

基础知识

1周

Web

时间 项目
2周 SQL
1周 XSS/SSRF
3周 文件上传/文件包含/命令执行/文件下载
1周 越权/逻辑漏洞
2周 web其它
2周 Web综合(刷题)
共11周

密码学

时间 项目
1周 古典密码
2周 对称密码
2周 非对称密码
2周 综合
共7周

漏洞利用

时间 项目
1周 Msf
1周 端口转发
1周 提权
2周 综合
共5周

取证与隐写

时间 项目
1.5周 流量分析、分析工具
2周 隐写
1周 综合
共4.5周

逆向工程

时间 项目
1.5周 工具熟悉
2周 案例分析
2周 综合
共5.5周

杂项

时间 项目
结合 信息搜集
编码分析
取证分析
隐写分析

一、基础知识

项目 学习链接
vim http://coolshell.cn/articles/5426.html
Git https://try.github.io/
bash https://github.com/vuuihc/bash-guide
正则表达式 https://deerchao.net/tutorials/regex/regex.htm
python正则 http://wiki.ubuntu.org.cn/Python正则表达式操作指南
iptables http://shanks.leanote.com/post/iptables使用指南

二、安全科目

逆向分析、漏洞利用、密码学、网络安全、取证与隐写、杂项

https://skills.bugbank.cn/

  • WEB
    • SQL
    • XSS/SSRF
    • 文件上传/文件包含/命令执行/文件下载
    • 越权/逻辑漏洞
    • 信息泄露
    • 接口漏洞 xml、XPath
    • 综合利用
  • 密码学
    • python (pycrypto、gmpy2)
    • yafu、attackrsa、xortool
  • 安全杂项
  • 逆向工程
    • 静态分析 —— IDA Pro,objdump
    • 动态调试 —— od(windows),gdb(linux)
  • 隐写术
  • 编程
  • 溢出
  • 渗透测试
    • 洛玛七步杀
    • 端口转发
    • Kali
    • metasploit
    • Beff
    • Exploit-DB
  • 防御
    • 流量
    • iptables
    • jwt

比赛

  • picoctf.com
  • 0ctf
  • hitcon ctf

OJ

靶机

  • DVWA
  • SQLilab
  • XSS-game

工具

  • burpsuite
  • hackbar
  • sqlmap(python)
  • requests库(python)
  • sqlmap
  • nmap
  • w3af
  • nessus
  • Appscan
  • AWVS

学习资源

https://ctftime.org/writeups

Web安全学习笔记 https://websec.readthedocs.io

网络信息安全工作组线上系列安全培训 https://my.sec.edu-info.edu.cn/content?show=1463740172

https://ctf-wiki.github.io/ctf-wiki/introduction/resources/

Note:2018/11/11