网络攻防WEB入门指南

网络攻防WEB入门指南&＃xff08;大佬绕路&＃xff09;

前言

我对网络攻防的理解&＃xff0c;分为比赛和实战两个部分&＃xff0c;两者所学习的知识虽有共通之处&＃xff0c;但还是有很大区别&＃xff0c;我也在向实战的状态转换&＃xff0c;不过二者入门所要掌握的知识差别不大。下面主要从网络攻防竞赛角度&＃xff0c;也就是知名的CTF夺旗赛&＃xff0c;来谈谈网络攻防知识如何入门。

学习网络攻防该如何入门

常规CTF比赛主要分为线上做题&＃xff0c;以及线下AWD攻防&＃xff08;Attack With Defence&＃xff09;&＃xff0c;其中初赛往往为做题形式&＃xff0c;决赛为AWD混战。做题形式又分为MISC&＃xff08;杂项&＃xff09;、PWN、WEB、REVERSE&＃xff08;逆向&＃xff09;、CRYPTO&＃xff08;密码&＃xff09;&＃xff0c;AWD混战以WEB为主&＃xff0c;部分会有PWN&＃xff0c;做题和AWD形式中的WEB都万变不离其宗&＃xff0c;主要攻击手段有SQL注入、XSS、SSRF、文件包含、文件上传和一些已披露漏洞等&＃xff0c;比赛中的漏洞又是故意暴露出来的&＃xff0c;故比较好看出来&＃xff0c;只要熟悉以上漏洞形式&＃xff0c;即可上传SHELL拿FLAG。
其中主方向有WEB、逆向、PWN三个&＃xff0c;一般一个人只能选一个方向主要学习&＃xff0c;因为所涉及的知识不同&＃xff0c;也没听说过能全精的。MISC和密码带着学一些&＃xff0c;新手没思路的话一般推荐从web入手&＃xff0c;web入门简单&＃xff0c;除非对二进制特别感兴趣或代码能力极强。
一定要精通至少一门编程语言&＃xff01;&＃xff01;&＃xff01;不管选择学什么方面&＃xff0c;编程语言都相当重要&＃xff0c;CTF中不要想做脚本小子&＃xff08;纯只会用工具&＃xff09;&＃xff0c;能用工具解决的都是简单题&＃xff0c;每个方面学到中等以后都会要求编程能力&＃xff0c;web方面发包调试、sql注入等&＃xff1b;杂项和密码编写解密脚本&＃xff1b;逆向脚本动态调试、解密&＃xff1b;PWN更不用说了&＃xff0c;没有题是不需要写脚本的。这里推荐python3&＃xff0c;这是目前较容易上手且非常流行的语言。

我主学web方面&＃xff0c;谈谈web如何入门&＃xff1a;
想学web&＃xff0c;首先基础知识得了解&＃xff0c;现代网络技术课程的内容都要掌握&＃xff0c;什么是流量包&＃xff0c;http协议等等基础的概念要比较清楚&＃xff0c;这个网上很多教程&＃xff0c;学校大二也会开设这门课。
如果很早开始学习web&＃xff0c;时间很多的话&＃xff0c;可以自己摸索着搭建一个网站&＃xff0c;对web的理解会有很大提升&＃xff08;这里说的搭建不是指用phpstudy一类自动化建站工具&＃xff0c;而是包括自己写php源码&＃xff0c;连接数据库上传等&＃xff09;。租一个阿里云学生服务器&＃xff0c;便宜且好用&＃xff0c;不仅可以搭建自己的网站&＃xff0c;有些题目包括比赛&＃xff0c;都会用到&＃xff08;如反弹别的网站shell到自己服务器&＃xff09;

前期不太会编程的前提下&＃xff0c;多用用经典常见工具&＃xff0c;先从脚本小子做起。最常见的工具如burpsuite、wireshark、AWVS、nmap、sqlmap、御剑系列扫描工具等等。这个可以下一个i春秋或吾爱破解的工具包&＃xff0c;或者悬剑武器库&＃xff08;号称中国版kali的系统&＃xff09;&＃xff0c;里面都是集成工具的&＃xff0c;一个个工具熟悉。

练习环境推荐自己利用phpstudy搭建经典的DVWA测试环境&＃xff0c;各种漏洞类型都有&＃xff0c;还能调整难度&＃xff0c;实在不会搭建&＃xff0c;buuctf网站上也有现成可以打开的容器环境。

入门推荐书籍&＃xff1a;
《白帽子讲web安全》
《web前端黑客技术揭秘》
《python绝技&＃xff1a;利用python成为顶级黑客》
《kali linux 高级渗透测试》
《从0到1 CTFer成长之路》

&＃xff08;其实不用挑&＃xff0c;市面上有关web安全的书都可以看&＃xff0c;主要只要肯看肯学&＃xff0c;什么书都差不多的&＃xff0c;要将知识转换为技术&＃xff0c;而不是在乎学到了多少内容&＃xff09;

推荐几个不错的微信公众号&＃xff1a;程序员知识星球、川云安全团队、Gamma实验室、黑白之道、红客、家国安全、Khan安全团队、渗透云笔记、悬剑武器库

不管学什么&＃xff0c;学主要知识的同时&＃xff0c;多接触kali linux&＃xff0c;黑客都在用的操作系统&＃xff0c;功能太强大&＃xff0c;不详细介绍&＃xff08;kali用的好&＃xff0c;牢饭吃到老&＃xff09;。教程很多很好搜&＃xff0c;不推荐具体的&＃xff0c;建议安装最新的版本&＃xff0c;新版比旧版集成工具命令更多。

要求能力&＃xff1a;php至少完全能看懂&＃xff0c;包括不常用的函数功能要清楚&＃xff0c;最好会写&＃xff0c;可以自己搭建网站练习
python会根据功能自己编写脚本
linux常见指令会用
mysql基本语句会用
部分教程链接&＃xff08;仅供参考&＃xff0c;可以自己找更好的&＃xff09;
https://www.runoob.com/php/php-variables.html &＃xff08;php&＃xff09;
https://www.liaoxuefeng.com/wiki/1016959663602400 &＃xff08;python3&＃xff09;
https://www.runoob.com/mysql/mysql-tutorial.html &＃xff08;mysql&＃xff09;

最后多练才是王道&＃xff0c;多参加比赛&＃xff0c;线上赛很多&＃xff0c;都可以自己了解报名
做题网站&＃xff1a;
https://adworld.xctf.org.cn/
https://buuoj.cn/
https://www.bugku.com/
https://ctf.pediy.com/

https://ctf.bugku.com/awd/index.html
有时间可以在这个平台上注册一下&＃xff0c;自己组队参加一下定期举行的AWD形式比赛&＃xff0c;很少有平台举行AWD的比赛&＃xff0c;CTF决赛都是AWD形式&＃xff0c;尤其蓝帽杯之前的初赛决赛都是AWD形式&＃xff0c;这种实操的模式更贴近实战&＃xff0c;可以练习熟悉一下。

https://zhongce.360.cn/sign-in
自我感觉web学得不错&＃xff0c;不知道入没入门的话&＃xff0c;我推荐这个360的众测平台的考核&＃xff0c;这个平台是用来挖真实网站漏洞提交来获取赏金的平台&＃xff0c;但要想取得平台入驻资格必须通过他们内部组织的考试&＃xff0c;我之前考了一下&＃xff0c;比较容易&＃xff0c;基本是CTF中WEB入门题。如果能通过考核&＃xff0c;web差不多可以算入门了。