今天是挑戰第二天，先來說一下資安領域中常見的大方向分類
這兩個可以當作想進入資安領域第一個交叉路口，當然也可以讓自己萬能一點兩個都學累死自己
這兩個方向可以分為你想成為進攻方或是防守方

1. 進攻性安全 (Offensive Security)

• 核心理念：模擬攻擊者的行為，主動尋找系統弱點並利用它。
• 目的：在壞人之前發現漏洞，幫助修補。
• 常見角色 / 技術：
  滲透測試 (Penetration Testing)
  紅隊演練 (Red Teaming)
  弱點掃描與利用 (Vulnerability Exploitation)
  社交工程 (Social Engineering, Phishing 測試)
  Web、網路、無線、行動裝置滲透
• 相關工具：Metasploit、Burp Suite、Gobuster、Nmap、BloodHound…

2. 防禦性安全 (Defensive Security)

• 核心理念：保護、監控、偵測，阻止攻擊或減少影響。
• 目的：維持系統持續安全運作，降低攻擊成功率。
• 常見角色 / 技術：
  藍隊 (Blue Team) 防禦
  安全運維 (Security Operations, SOC)
  入侵偵測與響應 (IDS/IPS, Incident Response)
  威脅獵捕 (Threat Hunting)
  日誌分析、SIEM、監控
  修補漏洞、設定防火牆、強化系統安全
• 相關工具：Splunk、ELK Stack、Wireshark、Zeek、Snort、EDR (Endpoint Detection & Response)…

今天這間房間作為第一個接觸資安世界的房間會先讓你體驗一遍入侵的樣子。

room 1.Offensive Security Intro

“要想戰勝駭客，你就必須像駭客一樣思考。”

這間房間會讓我們做一遍"駭客攻擊"的動作
當然不會到很複雜的操作畢竟還是初學者🧐

點擊"Start Machine"打開內建的虛擬機後就會出現一個分頁視窗

在這個房間內我們將使用Gobuster註1來暴力破解他提供的網站

進入到終端後我們可以在Desktop下看見wordlist.txt，這就是我們等下要用來破解的字典

下面來輸入Gobuster指令

//這是常見的指令形式
gobuster -u <目標URL> -w <字典> <枚舉模式>

下面是跑完的結果

你會發現可用的網址http://fakebank.thm/bank-transfer

依照提示輸入這樣你就可以更改你的帳戶餘額啦

每個房間內都會有數個task裡面會有像下面這樣的問答區

只要一步步按照room裡的內容就能順利回答下方的問題

上面讓我體驗了一把入侵成功的感覺，算是為了提起學習的興趣

雖然我知道現實肯定沒有那麼簡單
真實的滲透測試可能需要數天到數週，涉及資訊蒐集、弱點利用、維持存取....，而不是單純跑一個 Gobuster 就能入侵。

這間房間後面還會說攻擊性安全崗位的簡要介紹，也給了一些使用THM這個網站後獲得工作的一些人的使用心得感想?
我可以認為這是為自己打廣告對吧😂

總之今天這間房間內容很簡單步驟也不多，是為了讓初次接觸到資安領域的人一個淺灘來試水溫，也給自己一個學習一個好的開頭。

註解1.Gobuster 是一款免費的開源目錄和檔案爆破 / 枚舉 (enumeration)工具。滲透測試人員和安全專業人員使用它來尋找 Web 伺服器上的隱藏目錄和檔案。