概述
PWN,Reverse:偏重对汇编,逆向的理解,逆向更多要求对于各种代码的了解,会常见开发,注重算法的理解,数据结构和算法一定要学好;PWN要求对于计算机系统的了解,对于基础的数据结构-栈堆-以及Linux/widows下的程序调用比较熟悉。
crypto:偏重对数学,算法的深入学习,同时也需要对常见密码有所了解-AES/DES等;
Web:需要对各种web漏洞了解,明白其形成原因和利用方式;了解计算机网络、网站搭建、会用常见的网站框架,同时需要大量的练习;
Misc:则更为复杂,所有与计算机安全挑战有关的都算在其中,所学很杂,积累和刷题很重要,常见有流量分析/隐写等;
Mobile:安卓逆向,要去了解安卓的基本架构;
常规做法
A方向:PWN+Reverse+crypto,随机搭配;
B方向:Web+Misc组合;
都要学的内容:
-
Linux基础
-
计算机组成原理
-
操作系统原理
-
网络协议分析
-
数据结构
-
算法
A方向
IDA工具使用(f5插件),逆向工程,密码学,缓冲区溢出等
书籍推荐:
-
《加密与解密(第四版)》;
-
《IDA Pro权威指南》;
-
《逆向工程权威指南》(字典工具书);
-
《自己动手写操作系统》;
-
《算法导论》
-
《汇编语言》
-
《黑客攻防宝典,系统实战篇》;
-
《程序员的自我修养–链接、装载与库》
网站推荐:
B方向
网络安全,内网渗透,数据库安全。
书籍推荐:
-
《Web应用安全权威指南》
-
《web前端黑客技术揭秘》
-
《黑客秘籍-渗透测试实用指南》
-
《黑客攻防技术宝典Web实战篇》
-
《代码审计:企业级Web代码安全架构》
-
《SQL注入攻击与防御》
网站推荐:
dvwa本地靶场(自己在本地搭建)
SQLilab本地靶场(自己在本地搭建)
webug(本地搭建)
http://1111.segmentfault.com/ 光棍节程序员闯关秀
http://monyer.com/game/game1/梦之光芒的小游戏
http://www.fj543.com/hack/ 黑客丛林之旅
http://hackgame.blackbap.org/ 习科黑客游戏
http://www.helloisa.com/test/ ISA闯关游戏
http://hkyx.myhack58.com/ 红客闯关游戏
http://hackit.sinaapp.com/ hackit游戏
CTF综合平台
学校自己的系统(10.222.2.235/10.222.2.236)
https://ctf.bugku.com/ bugku平台
http://oj.xctf.org.cn/ XCTF_OJ练习平台 (自己去找吧)
工具
CTF比赛一般都是使用网络完全常用工具,比如burp、IDA等,但是会与很多大家不常见的工具:
https://hithub.com/truongkma/ctf-tools
比赛
【注】:
1、writeup指CTF比赛结题思路
信心比黄金更重要
禁止转载!!!