前言：

从2019年10月开始接触CTF，学习了sql注入、文件包含等web知识点，但都是只知道知识点却实用不上，后来在刷CTF题才发现知识点的使用方法，知道在哪里使用，哪里容易出漏洞，可是在挖src漏洞中还是很迷漫，学了快一年还是没挖过一条src漏洞。这一系列学习籽料是把自己学习的CTF的过程详细写出来，方便大家学习时可以参考。

一、CTF简介

中文一般译作夺旗赛（对大部分新手也可以叫签到赛），在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式

竞赛模式

• 解题模式： 在解题模式CTF赛制中，参赛队伍可以通过互联网或者现场网络参与，这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似，以解决网络安全技术挑战题目的分值和时间来排名，通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。
• 攻防模式： 在攻防模式CTF赛制中，参赛队伍在网络空间互相进行攻击和防守，挖掘网络服务漏洞并攻击对手服务来得分，修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况，最终也以得分直接分出胜负，是一种竞争激烈，具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中，不仅仅是比参赛队员的智力和技术，也比体力（因为比赛一般都会持续48小时及以上），同时也比团队之间的分工配合与合作。
• 混合模式： 结合了解题模式与攻防模式的CTF赛制，比如参赛队伍通过解题可以获取一些初始分数，然后通过攻防对抗进行得分增减的零和游戏，最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。

接下来，分享一些刷题网站（排名不分先后，理解纯属个人）：

buuctf

https://buuoj.cn/

题目偏全，难度梯度不错，经常也办一些自己的比赛，对于低中高水平的师傅都合适。

攻防世界

https://adworld.xctf.org.cn/

含金量最高的xctf比赛举办网站，题目排序稍乱，不太适合入门，但是题目质量很高。

CTFshow

https://ctf.show/

对入门师傅比较友好，部分教程免费，体量相较于上面两个不大。

nssctf

https://www.nssctf.cn/

web手福音，风格有点像洛谷，有awd，比赛频率高，UI好看

其实还有bugku，看雪，jarvis（时代的眼泪）等等网站，在这里不一一列举了，需要师傅们自己去尝试摸索，但在进行刷题的过程中应该只刷一个网站，不要更换。但每个网站的小比赛都可以打，前提是必须保证能得到有效的复现，这样刷题才有用。

学习和资源网站（排名不分先后）：

CTF维基

tps://ctf-wiki.org/

选方向之前要有个大概的画像，就在这上面看。包含了对所有方向详细的介绍，高难内容缺失（有些栏目只是有个目录，但没有内容）。适合文字学习的师傅。

CTFtime

https://ctftime.org/

包含全世界战队的成绩等信息，可以查找很多世界著名比赛（有权值），参考世界排名。

52pojie

https://www.52pojie.cn/

52破解，大部分想要的工具都能找到破解，上面也有比赛相关的一些帖子，相当于ctf人的贴吧。不会真有逆向手没上过这个网站吧！

23新生赛总结（不全，可以补充）：

PS：这些新生赛都是个人打过的，质量都可以保证。个人没有打过的高质量比赛也希望师傅们能够谅解。这种比赛的特点一般是周期长，难度都不会特别高，一般是校赛。部分网站可能都不在了，但明年可能会再办。

NewStarCTF

ttps://buuoj.cn/match/matches/190

LitCTF

https://www.nssctf.cn/contest/88/

SHCTF

http://shctf.club:8000/

MoeCTF

https://ctf.xidian.edu.cn

理解纯属个人，其中有一些比较也可能不恰当，不同意可以直接私信。希望大伙都能得到一些收获。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

最后，就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

• 参考解析：深信服官网、奇安信官网、Freebuf、csdn等 内容特点：条理清晰，含图像化表示更加易懂。
• 内容概要：包括内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…