iT邦幫忙

2024 iThome 鐵人賽

DAY 30
0

總結

在這次鐵人賽的過程中,連續一個月每天解題、學習技術,相信已經有所成長。也越來越熟悉 CTF 中的題目與解題,在不斷解題與學習中,拓展了對資安領域的理解。也使用了平常沒有使用過的各種線上或本地的工具。因為這次的鐵人賽,讓我學習如何使用這些工具,也認識到原來有這麼多工具可以協助,有這麼多酷酷的好東西。未來再次挑戰 CTF 時終於不是空手XD。

如果大家想要繼續往這方面更進一步研究,以下有幾個平台,可以作為加深加廣的資源:

  • HackTheBox
    專注於模擬實戰的滲透測試與漏洞挖掘訓練。平台提供了大量設計精巧的虛擬機(VMs),每台 VM 代表一個需要攻破的系統或應用,涵蓋範圍廣泛,包括 Web 安全、逆向工程、密碼學與系統滲透等領域。使用者可以自由選擇不同難度的挑戰,進行逐步訓練,模擬真實世界中的攻防場景。使用者可以分享解題心得、討論技術挑戰,甚至可以自行設計並上傳挑戰供他人解決。透過這種互動與實作,使用者能夠在攻擊與防禦實戰中不斷成長。對於希望提升滲透測試與攻防技巧的專業人員或資安愛好者來說,HackTheBox 是一個不錯的學習資源。

  • pwnable.tw
    pwnable.tw 是線上 Pwn 挑戰平台,針對漏洞利用(Pwn)領域提供各式挑戰,從基礎到進階題目皆有涵蓋。這個平台的核心在於培養使用者對系統漏洞的理解及實作能力,像是緩衝區溢位、格式化字串攻擊、ROP(Return Oriented Programming)等常見的漏洞類型。每個挑戰不僅要求找到漏洞,還需要編寫 Exploit 來成功利用漏洞。

  • PortSwigger Web Security Academy
    由開發 Burp Suite 的公司 PortSwigger 推出。該平台針對 Web 應用的各類安全議題,提供從入門到高階的實戰訓練,學習者可以透過詳細的教學文章及互動式練習題目,實際體驗和理解 Web 安全漏洞及其防禦技術。平台涵蓋了常見的 Web 攻擊類型,如 SQL 注入、XSS、CSRF,以及進階的漏洞如 SSRF 和 Deserialization。使用者可以在實際環境中模擬攻擊,學習如何有效利用漏洞,並強化對漏洞原理的理解。這些練習不僅免費,有些題目能直接在瀏覽器中操作。對於沒有環境的人滿友善的。

  • TryHackMe
    TryHackMe 是一個提供循序漸進資安課程的學習平台,適合初學者和中階學習者。平台上的每個教學房間都針對特定的技術或主題,從滲透測試的基礎知識到專業技術,讓使用者在實作中學習。TryHackMe 提供了易於上手的學習路徑,並輔以詳細的解說與練習,逐步帶領學習者掌握如 Nmap、Wireshark、Metasploit 等資安工具的使用方法。強調實際操作的重要性,讓學習者能夠在虛擬環境中操作解題。其資源涵蓋 Web 安全、漏洞利用、密碼學等領域。

  • Cryptohack
    針對密碼學的學習平台,提供一系列題目來探索和破解各種加密技術。從基本的 XOR 加密開始,逐步帶領學習者深入理解 RSA、AES、椭圓曲線密碼學等進階加密技術。每個挑戰不僅包含理論解釋,還提供了實際操作環境,讓學習者能夠實際應用所學知識來解決問題。Cryptohack 的設計結合理論與實作,強調程式設計能力,許多題目需要使用者編寫 Python 腳本來進行解密或破解。這種學習方式能夠幫助使用者在實際操作中掌握密碼學的精髓,並理解其在現代資訊安全中的重要性。

  • bandit
    適合想深入了解 Linux 系統操作及基本漏洞利用的人。這個平台以循序漸進的方式,帶領使用者熟悉各種 Linux 指令和概念,如檔案操作、權限管理、SSH 連線、管道(pipe)和重新導向(redirection)等。使用者需要運用 Linux 指令來解決問題,並找到下一個關卡的登入資訊。Bandit 的特點是非常適合剛接觸 Linux 和資安領域的初學者,透過這些關卡的引導,使用者可以逐步建立起對 Linux 系統運作的理解,並學會如何發現和利用基礎漏洞。

以下是平台的詳細介紹

HackTheBox
PortSwigger Web Security Academy
TryHackMe
CryptoHack


上一篇
Day29 - 金盾獎參賽心得
系列文
新手村預備,CTF 小菜雞跌跌撞撞的旅程30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言