当前位置：首页 > article >正文

【2026】零基础小白如何入门CTF，看这一篇就够了（附学习笔记、靶场、工具包）

article 2026/4/28 8:37:16

CTF收藏这一篇就够了CTF简介一、CTF入门1.1、CTF常识1.2、CTF竞赛模式二、CTF赛事发布网站三、CTF在线靶场四、漏洞靶场五、CTF工具包六、学习路线CTF简介CTFCapture The Flag中文一般译作夺旗赛在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。发展至今已经成为全球范围网络安全圈流行的竞赛形式CTF靶场CTF刷题在校生备战CTF比赛信安入门、提升自己、丰富简历之必备一场比赛打出好成绩可以让你轻松进大厂如近期的各种CTF杯在职人员可以工作意外提升信安全技能。渗透实战靶场挖洞、渗透实战web、域、横向渗透适合实战能力需要大幅度提升的同学。一、CTF入门最近很多朋友在后台私信我问应该怎么入门CTF。个人认为入门CTF之前大家应该先了解到底什么是CTF而你学CTF的目的又到底是什么其次便是最好具备相应的编程能力若是完全不具备这些能力极有可能直接被劝退。毕竟比赛的时候动不动写个脚本搞个审计的。✨零基础入门的小伙伴可以看下方二维码有学习路线和教程分享✨废话结束对于CTF入门现在环境比15、16年我刚接触时好太多了当年各类资源少的可怜SQL注入绕WAF已经算是难题了。而目前国内的氛围明显好太多了涌现出了大量优秀的平台。作为初学者往往会遇到一个很关键的问题该学哪个方向个人感觉在不知道学啥的事情可以先学学Misc培养兴趣然后在不断的做题中思考自己感兴趣的方向。其次日后发展也是个很关键的事情如果准备毕业后从事网络安全那么就需要想好Web、Pwn这些方向的日后发展。可以干哪些岗位而这些岗位需要的对应能力、发展空间、薪资等等。1.1、CTF常识CTF比赛知识范围大致分为Web安全、PWN二进制安全、Reverse逆向破解、Crypto密码学安全、Forensics数字取证、Misc杂项Web安全CTF中的Web题型就是给定一个Web网站选手要根据题目所提示的信息找到网站上的flag字符串。做题的方法类似于渗透测试但通常不会是一个完整的渗透测试而是用到渗透测试中的某一个或某几个环节。可能涉及信息搜集、各类漏洞发现与利用、权限提升等等。为了获取flag可能需要拿到管理员权限数据库权限甚至获取网站所在服务器的权限。所需知识语言PHP、Python、JavaScript… 数据库MySQL、MSSQL… 服务器Apache、Nginx… Web框架ThinkPHP、Flask… 语言特性弱类型、截断… 函数特性is_numeric、strcmp等PWNPWN在安全领域中指的是通过二进制/系统调用等方式获得目标主机的 shell。CTF 中主要考察二进制漏洞的发掘和利用需要对计算机操作系统底层有一定的了解。在 CTF 竞赛中PWN 题目主要出现在 Linux 平台上。所需知识C/C编程语言基础、编译原理、汇编、反汇编、操作系统、加密与解密、堆栈原理、栈溢出、堆溢出…ReverseCTF之REVERSE题目涉及到软件逆向、破解技术等要求有较强的反汇编、反编译扎实功底。需要掌握汇编堆栈、寄存器方面的知识。有好的逻辑思维能力。主要考查参赛选手的逆向分析能力。所需知识汇编、反汇编、堆栈、调试器、代码分析、OllyDBG、IDA等CryptoCTF之CRYPTO部分题目考察各种加解密技术包括古典加密技术、现代加密技术甚至出题者自创加密技术。所需知识数学知识、密码编制、密码破解、古典密码、现代密码、密码分析ForensicsCTF之FORENSICS包括文件格式分析隐写术内存转储分析或网络数据包捕获分析提取静态数据文件中隐藏的信息的任何挑战都可以归为这一类所需知识数据恢复、磁盘取证、内存取证、流量分析、文件隐写Misc就是除上述之外的乱七八糟的网络安全范围内的东西英文全称为 Miscellaneous意思是混杂的、各种各样的。MISC 题通常包括文件分析、图像隐写、数据搜索、内存镜像分析和流量分析等。题型多样脑洞大趣味性强是 MISC 题型的主要特点。所需知识信息隐藏、文件格式、内存镜像、流量分析、数据分析、社会工程等1.2、CTF竞赛模式解题模式Jeopardy在解题模式CTF赛制中参赛队伍可以通过互联网或者现场网络参与。这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛类似以解决网络安全技术挑战题目的分值和时间来排名通常用于在线选拔赛选手自由组队人数不受限制。题目主要包含六个类别RE逆向工程、Pwn漏洞挖掘与利用、Web渗透、Crypto密码学、Mobile移动安全和Misc安全杂项。攻防模式Attack-Defense在攻防模式CTF赛制中参赛队伍在网络空间互相进行攻击和防守通过挖掘网络服务漏洞并攻击对手服务来得分通过修补自身服务洞进行防御来避免丢分。攻防模式通常为线下赛参赛队伍人数有限制通常为3到5人不等可以实时通过得分反映出比赛情况最终也以得分直接分出胜负。这是一种竞争激烈、具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中不仅仅是比参赛队员的智力和技术也比体力因为比赛一般都会持续48小时及以上同时也比团队之间的分工配合与合作。混合模式Mix结合了解题模式与攻防模式的CTF赛制主办方会根据比赛的时间、进度等因素来释放需解答的题目题目的难度越大解答完成后获取的分数越高。参赛队伍通过解题获取一些初始分数然后通过攻防对抗进行得分增减的零和游戏最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。二、CTF赛事发布网站i春秋: https://www.ichunqiu.com/competitionXCTF社区https://time.xctf.org.cnCTFwiki入门必看wiki: https://ctf-wiki.github.io/ctf-wiki/#/introductionCTFrank: https://ctfrank.org/CTFtime基本都是国外的: https://ctftime.org三、CTF在线靶场1、BugkuCTF经典靶场难度适中适合入门刷题题量大https://ctf.bugku.com/2、北京联合大学BUUCTF新靶场难度中上搜集了很多大赛原题https://buuoj.cn/3、CTFSHOW:新靶场题量大很多大赛会从中抽原题https://ctf.show/challenges4、XCTF攻防世界https://adworld.xctf.org.cn/task上面4个靶场是我常去的BugkuCTF很久以前就刷了一遍BUUCTF刷了有70%CTFSHOW最近一直在刷XCTF攻防世界以前有内网渗透实验现在主要上去刷CTF。5、实验吧:http://www.shiyanbar.com2017年刷过一遍目前站一直更新**6、安恒周周练**https://www.linkedbyx.com/home7、XSS专练https://xss.haozi.me/tools/xss-encode/8、南京邮电大学CTF网络攻防训练平台: http://ctf.nuptzj.cn/9、网络信息安全实验平台http://hackinglab.cn/index.php四、漏洞靶场1. DVWA必练Web安全入门必刷的靶场包含了最常见的web漏洞界面简单易用通过设置不同的难度可更好地理解漏洞的原理及对应的代码防护http://www.dvwa.co.uk2. Sqli-Labs必练一个印度大神程序员写的,用来学习sql注入的一个游戏教程目前65关冲关过程中学注入。https://github.com/Audi-1/sqli-labs3. Upload-labs必练一个和sqli-labs类似的靶场平台,专门学习文件上传的目前21关。https://github.com/c0ny1/upload-labs4. BWVS老版本bugku的离线版https://github.com/bugku/BWVS5. BWAPPhttps://sourceforge.net/projects/bwapp6. WAVSEPhttps://github.com/sectooladdict/wavsep7. VulnStackhttp://vulnstack.qiyuanxuetang.net/vuln8. Webug 3.0https://pan.baidu.com/s/1eRIB3Se9. Metasploitablehttps://github.com/rapid7/metasploitable310. DVWA-WooYunhttps://sourceforge.net/projects/dvwa-wooyun11. OWASP Mutillidaehttps://sourceforge.net/projects/mutillidae12. Web for Pentesterhttps://www.pentesterlab.com/exercises/web_for_pentester五、CTF工具包CTF大赛俗话说“兵马未动粮草先行”。打CTF手里的武器工具少不了CTF比赛有些线下赛不提供互联网环境这就更需要开战前把工具包准备好了。工具包目录六、学习路线网络安全红蓝对抗所有方向的学习路线对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。学习资料工具包压箱底的好资料全面地介绍网络安全的基础理论包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等将基础理论和主流工具的应用实践紧密结合有利于读者理解各种主流工具背后的实现机制。网络安全源码合集工具包视频教程视频配套资料国内外网安书籍、文档工具因篇幅有限仅展示部分资料需要的小伙伴扫描下方二维码即可前往获取好了就写到这了,大家有任何问题也可以随时私信问我!希望大家不要忘记点赞收藏哦!

【2026】零基础小白如何入门CTF，看这一篇就够了（附学习笔记、靶场、工具包）

相关文章：

【2026】零基础小白如何入门CTF，看这一篇就够了（附学习笔记、靶场、工具包）

零基础在长沙学AI漫剧哪里可以学

Wan2.2-I2V-A14B合规实践：符合《生成式AI服务管理暂行办法》私有部署

深度解析VinXiangQi：3种实战方法掌握AI象棋连线核心技术

互联网大厂 Java 求职面试：音视频与微服务的技术挑战

互联网大厂 Java 面试：技术提问与幽默回答

ASM开源库实现函数耗时插桩

Vite打包压缩插件vite-plugin-pack-orchestrator，自动搞定压缩、校验、自动哈希命名

互联网大厂 Java 求职者面试：从 Spring Boot 到微服务的挑战

医疗影像AI分割技术：VISTA-3D模型解析与应用实践

DS4Windows终极指南：3步让PlayStation手柄在Windows电脑上完美运行

解锁NVIDIA Profile Inspector全球影响力：多语言本地化架构深度解析

Cursor 变慢怎么办？2026排查指南

Intv_ai_mk11 操作系统原理问答助手：深入解析进程、线程与内存管理

为什么 Claude Code 没有一句废话？扒光它的底层提示词，我悟了！

SOCD Cleaner：如何用开源工具解决游戏输入冲突，实现亚毫秒级响应

2026前端人必须知道的6个MCP服务器，每一个都能省掉一个工具链

SOCD Cleaner终极指南：彻底解决键盘输入冲突，提升游戏操作精度

第三届“长城杯”网数智安全大赛（防护赛）总决赛即将开启

Zotero重复文献清理终极指南：5分钟批量合并重复条目的完整教程

Hitboxer终极指南：如何用智能按键映射解决游戏操作冲突问题

人类思想史上的一些思维模型整理

IPATool 实战指南：解锁App Store应用下载的3种创新用法

如何一键备份你的QQ空间历史说说？GetQzonehistory终极指南

医疗影像不平衡分类实战：乳腺X光微钙化检测

Awesome LLM资源列表：从业者的高效学习与应用导航

CnOpenData 税收调查企业实用新型专利授权质量统计表

用YOLOv5和LabelImg从零制作FPS游戏数据集（含自动划分脚本）

解密baidupankey：如何用AI技术秒级获取百度网盘提取码

遗传算法原理与Python实现详解