網(wǎng)絡(luò)攻防WEB入門指南（大佬繞路）

文章目錄

• 前言
• 學(xué)習(xí)網(wǎng)絡(luò)攻防該如何入門

---

前言

我對(duì)網(wǎng)絡(luò)攻防的理解，分為比賽和實(shí)戰(zhàn)兩個(gè)部分，兩者所學(xué)習(xí)的知識(shí)雖有共通之處，但還是有很大區(qū)別，我也在向?qū)崙?zhàn)的狀態(tài)轉(zhuǎn)換，不過二者入門所要掌握的知識(shí)差別不大。下面主要從網(wǎng)絡(luò)攻防競(jìng)賽角度，也就是知名的CTF奪旗賽，來(lái)談?wù)劸W(wǎng)絡(luò)攻防知識(shí)如何入門。

學(xué)習(xí)網(wǎng)絡(luò)攻防該如何入門

常規(guī)CTF比賽主要分為線上做題，以及線下AWD攻防（Attack With Defence），其中初賽往往為做題形式，決賽為AWD混戰(zhàn)。做題形式又分為MISC（雜項(xiàng)）、PWN、WEB、REVERSE（逆向）、CRYPTO（密碼），AWD混戰(zhàn)以WEB為主，部分會(huì)有PWN，做題和AWD形式中的WEB都萬(wàn)變不離其宗，主要攻擊手段有SQL注入、XSS、SSRF、文件包含、文件上傳和一些已披露漏洞等，比賽中的漏洞又是故意暴露出來(lái)的，故比較好看出來(lái)，只要熟悉以上漏洞形式，即可上傳SHELL拿FLAG。
其中主方向有WEB、逆向、PWN三個(gè)，一般一個(gè)人只能選一個(gè)方向主要學(xué)習(xí)，因?yàn)樗婕暗闹R(shí)不同，也沒聽說(shuō)過能全精的。MISC和密碼帶著學(xué)一些，新手沒思路的話一般推薦從web入手，web入門簡(jiǎn)單，除非對(duì)二進(jìn)制特別感興趣或代碼能力極強(qiáng)。
一定要精通至少一門編程語(yǔ)言！！！不管選擇學(xué)什么方面，編程語(yǔ)言都相當(dāng)重要，CTF中不要想做腳本小子（純只會(huì)用工具），能用工具解決的都是簡(jiǎn)單題，每個(gè)方面學(xué)到中等以后都會(huì)要求編程能力，web方面發(fā)包調(diào)試、sql注入等；雜項(xiàng)和密碼編寫解密腳本；逆向腳本動(dòng)態(tài)調(diào)試、解密；PWN更不用說(shuō)了，沒有題是不需要寫腳本的。這里推薦python3，這是目前較容易上手且非常流行的語(yǔ)言。

我主學(xué)web方面，談?wù)剋eb如何入門：
想學(xué)web，首先基礎(chǔ)知識(shí)得了解，現(xiàn)代網(wǎng)絡(luò)技術(shù)課程的內(nèi)容都要掌握，什么是流量包，http協(xié)議等等基礎(chǔ)的概念要比較清楚，這個(gè)網(wǎng)上很多教程，學(xué)校大二也會(huì)開設(shè)這門課。
如果很早開始學(xué)習(xí)web，時(shí)間很多的話，可以自己摸索著搭建一個(gè)網(wǎng)站，對(duì)web的理解會(huì)有很大提升（這里說(shuō)的搭建不是指用phpstudy一類自動(dòng)化建站工具，而是包括自己寫php源碼，連接數(shù)據(jù)庫(kù)上傳等）。租一個(gè)阿里云學(xué)生服務(wù)器，便宜且好用，不僅可以搭建自己的網(wǎng)站，有些題目包括比賽，都會(huì)用到（如反彈別的網(wǎng)站shell到自己服務(wù)器）

前期不太會(huì)編程的前提下，多用用經(jīng)典常見工具，先從腳本小子做起。最常見的工具如burpsuite、wireshark、AWVS、nmap、sqlmap、御劍系列掃描工具等等。這個(gè)可以下一個(gè)i春秋或吾愛破解的工具包，或者懸劍武器庫(kù)（號(hào)稱中國(guó)版kali的系統(tǒng)），里面都是集成工具的，一個(gè)個(gè)工具熟悉。

練習(xí)環(huán)境推薦自己利用phpstudy搭建經(jīng)典的DVWA測(cè)試環(huán)境，各種漏洞類型都有，還能調(diào)整難度，實(shí)在不會(huì)搭建，buuctf網(wǎng)站上也有現(xiàn)成可以打開的容器環(huán)境。

入門推薦書籍：
《白帽子講web安全》
《web前端黑客技術(shù)揭秘》
《python絕技：利用python成為頂級(jí)黑客》
《kali linux 高級(jí)滲透測(cè)試》
《從0到1 CTFer成長(zhǎng)之路》

（其實(shí)不用挑，市面上有關(guān)web安全的書都可以看，主要只要肯看肯學(xué)，什么書都差不多的，要將知識(shí)轉(zhuǎn)換為技術(shù)，而不是在乎學(xué)到了多少內(nèi)容）

推薦幾個(gè)不錯(cuò)的微信公眾號(hào)：程序員知識(shí)星球、川云安全團(tuán)隊(duì)、Gamma實(shí)驗(yàn)室、黑白之道、紅客、家國(guó)安全、Khan安全團(tuán)隊(duì)、滲透云筆記、懸劍武器庫(kù)

不管學(xué)什么，學(xué)主要知識(shí)的同時(shí)，多接觸kali linux，黑客都在用的操作系統(tǒng)，功能太強(qiáng)大，不詳細(xì)介紹（kali用的好，牢飯吃到老）。教程很多很好搜，不推薦具體的，建議安裝最新的版本，新版比舊版集成工具命令更多。

要求能力：php至少完全能看懂，包括不常用的函數(shù)功能要清楚，最好會(huì)寫，可以自己搭建網(wǎng)站練習(xí)
python會(huì)根據(jù)功能自己編寫腳本
linux常見指令會(huì)用
mysql基本語(yǔ)句會(huì)用
部分教程鏈接（僅供參考，可以自己找更好的）
https://www.runoob.com/php/php-variables.html （php）
https://www.liaoxuefeng.com/wiki/1016959663602400 （python3）
https://www.runoob.com/mysql/mysql-tutorial.html （mysql）

最后多練才是王道，多參加比賽，線上賽很多，都可以自己了解報(bào)名
做題網(wǎng)站：
https://adworld.xctf.org.cn/
https://buuoj.cn/
https://www.bugku.com/
https://ctf.pediy.com/

https://ctf.bugku.com/awd/index.html
有時(shí)間可以在這個(gè)平臺(tái)上注冊(cè)一下，自己組隊(duì)參加一下定期舉行的AWD形式比賽，很少有平臺(tái)舉行AWD的比賽，CTF決賽都是AWD形式，尤其藍(lán)帽杯之前的初賽決賽都是AWD形式，這種實(shí)操的模式更貼近實(shí)戰(zhàn)，可以練習(xí)熟悉一下。

https://zhongce.360.cn/sign-in
自我感覺web學(xué)得不錯(cuò)，不知道入沒入門的話，我推薦這個(gè)360的眾測(cè)平臺(tái)的考核，這個(gè)平臺(tái)是用來(lái)挖真實(shí)網(wǎng)站漏洞提交來(lái)獲取賞金的平臺(tái)，但要想取得平臺(tái)入駐資格必須通過他們內(nèi)部組織的考試，我之前考了一下，比較容易，基本是CTF中WEB入門題。如果能通過考核，web差不多可以算入門了。

總結(jié)

以上是生活随笔為你收集整理的网络攻防WEB入门指南的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。