總結

在這次鐵人賽的過程中，連續一個月每天解題、學習技術，相信已經有所成長。也越來越熟悉 CTF 中的題目與解題，在不斷解題與學習中，拓展了對資安領域的理解。也使用了平常沒有使用過的各種線上或本地的工具。因為這次的鐵人賽，讓我學習如何使用這些工具，也認識到原來有這麼多工具可以協助，有這麼多酷酷的好東西。未來再次挑戰 CTF 時終於不是空手XD。

如果大家想要繼續往這方面更進一步研究，以下有幾個平台，可以作為加深加廣的資源：

• HackTheBox
  專注於模擬實戰的滲透測試與漏洞挖掘訓練。平台提供了大量設計精巧的虛擬機（VMs），每台 VM 代表一個需要攻破的系統或應用，涵蓋範圍廣泛，包括 Web 安全、逆向工程、密碼學與系統滲透等領域。使用者可以自由選擇不同難度的挑戰，進行逐步訓練，模擬真實世界中的攻防場景。使用者可以分享解題心得、討論技術挑戰，甚至可以自行設計並上傳挑戰供他人解決。透過這種互動與實作，使用者能夠在攻擊與防禦實戰中不斷成長。對於希望提升滲透測試與攻防技巧的專業人員或資安愛好者來說，HackTheBox 是一個不錯的學習資源。

• pwnable.tw
  pwnable.tw 是線上 Pwn 挑戰平台，針對漏洞利用（Pwn）領域提供各式挑戰，從基礎到進階題目皆有涵蓋。這個平台的核心在於培養使用者對系統漏洞的理解及實作能力，像是緩衝區溢位、格式化字串攻擊、ROP（Return Oriented Programming）等常見的漏洞類型。每個挑戰不僅要求找到漏洞，還需要編寫 Exploit 來成功利用漏洞。

• PortSwigger Web Security Academy
  由開發 Burp Suite 的公司 PortSwigger 推出。該平台針對 Web 應用的各類安全議題，提供從入門到高階的實戰訓練，學習者可以透過詳細的教學文章及互動式練習題目，實際體驗和理解 Web 安全漏洞及其防禦技術。平台涵蓋了常見的 Web 攻擊類型，如 SQL 注入、XSS、CSRF，以及進階的漏洞如 SSRF 和 Deserialization。使用者可以在實際環境中模擬攻擊，學習如何有效利用漏洞，並強化對漏洞原理的理解。這些練習不僅免費，有些題目能直接在瀏覽器中操作。對於沒有環境的人滿友善的。

• TryHackMe
  TryHackMe 是一個提供循序漸進資安課程的學習平台，適合初學者和中階學習者。平台上的每個教學房間都針對特定的技術或主題，從滲透測試的基礎知識到專業技術，讓使用者在實作中學習。TryHackMe 提供了易於上手的學習路徑，並輔以詳細的解說與練習，逐步帶領學習者掌握如 Nmap、Wireshark、Metasploit 等資安工具的使用方法。強調實際操作的重要性，讓學習者能夠在虛擬環境中操作解題。其資源涵蓋 Web 安全、漏洞利用、密碼學等領域。

• Cryptohack
  針對密碼學的學習平台，提供一系列題目來探索和破解各種加密技術。從基本的 XOR 加密開始，逐步帶領學習者深入理解 RSA、AES、椭圓曲線密碼學等進階加密技術。每個挑戰不僅包含理論解釋，還提供了實際操作環境，讓學習者能夠實際應用所學知識來解決問題。Cryptohack 的設計結合理論與實作，強調程式設計能力，許多題目需要使用者編寫 Python 腳本來進行解密或破解。這種學習方式能夠幫助使用者在實際操作中掌握密碼學的精髓，並理解其在現代資訊安全中的重要性。

• bandit
  適合想深入了解 Linux 系統操作及基本漏洞利用的人。這個平台以循序漸進的方式，帶領使用者熟悉各種 Linux 指令和概念，如檔案操作、權限管理、SSH 連線、管道（pipe）和重新導向（redirection）等。使用者需要運用 Linux 指令來解決問題，並找到下一個關卡的登入資訊。Bandit 的特點是非常適合剛接觸 Linux 和資安領域的初學者，透過這些關卡的引導，使用者可以逐步建立起對 Linux 系統運作的理解，並學會如何發現和利用基礎漏洞。

以下是平台的詳細介紹

HackTheBox
PortSwigger Web Security Academy
TryHackMe
CryptoHack