CTF 通常會依照各種領域區分, Web 、 Reverse 、 Pwn 、 Crypto 等。而滲透測試如果一定要區分在這些領域的話,應該會比較偏向 Misc。滲透測試通常都會是以組合技為主,所以 CTF 的各種領域最好都要有基礎的了解。
以新手導向的 CTF 資源,我推薦 picoCTF,上面的題目都非常的新手友善,關於 picoCTF 的解題內容,也歡迎觀看隔壁棚,我的隊友 Yvonne 的鐵人賽文章。
除了 picoCTF 之外,對於初學者學習 CTF 類資源,又與 PT 叫相近的,也推薦大家可以使用 RootMe。
有了基礎的 CTF 各領域技術後,接下來就可以進入練習滲透測試技能的階段。在這邊,我主要推薦四大平台:
VIP+
的方案在此我建議,各平台的靶機,如果有機會都可以去嘗試看看。如果只選擇一個平台的,一定會遇到一些的盲點。本次鐵人賽的內容前半主要會以 TryHackMe 上的靶機為主,預計後半可能會刻金買 HackTheBox 來玩。
與滲透測試相關的證照,最有名的就是 OSCP 證照,是由 Offensive Security 提供的 Penetration Testing with Kali Linux (PEN-200)。 它算是少數資安領域中的實做型證照,考試內容為在 24 小時內打下 5 台指定的靶機,並取得 root / System 權限,非常推薦大家對於滲透測試有了一定的認識後報考。
OSCP 官方有提供 PWK 的 Labs,其 30 天的 Lab 使用權搭配一次的考試,價格為 999 美元;60 天 Lab 使用搭配一次考試 則是 1199 元;90天的 Lab 搭配一次考試為 1349 元。