[Day3] Practice Resources

CTF 通常会依照各种领域区分， Web 、 Reverse 、 Pwn 、 Crypto 等。而渗透测试如果一定要区分在这些领域的话，应该会比较偏向 Misc。渗透测试通常都会是以组合技为主，所以 CTF 的各种领域最好都要有基础的了解。

CTF 资源

以新手导向的 CTF 资源，我推荐 picoCTF，上面的题目都非常的新手友善，关於 picoCTF 的解题内容，也欢迎观看隔壁棚，我的队友 Yvonne 的铁人赛文章。

除了 picoCTF 之外，对於初学者学习 CTF 类资源，又与 PT 叫相近的，也推荐大家可以使用 RootMe。

靶机资源

有了基础的 CTF 各领域技术後，接下来就可以进入练习渗透测试技能的阶段。在这边，我主要推荐四大平台：

• TryHackMe
  • TryHackMe 是这三个网站中，笔者最推荐的一个平台，上面有数以百计的 Linux 与 Windows 机器，也有一系列的渗透测试相关教学，可以依照着指示与提示，手把手的带着大家解题，算是三者中对於新手最友善的平台。
  • 其免费版就有不少的机器可以使用，而付费版则有更多课程与靶机。感谢 飞飞 ㄉ钱包赞助 QAQ。
• Vulnhub
  • Vulnhub 上有许多靶机的虚拟机 ova 档案，可以部属在自己的电脑中
  • 不过对於电脑效能有限的人可能会有一点不友善
  • 另外也可以将 ova 档案部属到云端平台上进行练习
• HackTheBox
  • HackTheBox 是网路上最多人推荐的平台，但笔者觉得他也有些许的缺点 QQ
  • 其上面免费版的靶机通常都会是多人共用，(数人到数十人不等)
    • 很多时候会造成互相的干扰，除非使用 VIP+ 的方案
  • 他是一个综合性的资安网站，除了渗透测试的靶机之外，也有许多软硬体相关的 CTF 题目

在此我建议，各平台的靶机，如果有机会都可以去尝试看看。如果只选择一个平台的，一定会遇到一些的盲点。本次铁人赛的内容前半主要会以 TryHackMe 上的靶机为主，预计後半可能会刻金买 HackTheBox 来玩。

证照资源

与渗透测试相关的证照，最有名的就是 OSCP 证照，是由 Offensive Security 提供的 Penetration Testing with Kali Linux (PEN-200)。 它算是少数资安领域中的实做型证照，考试内容为在 24 小时内打下 5 台指定的靶机，并取得 root / System 权限，非常推荐大家对於渗透测试有了一定的认识後报考。

OSCP 官方有提供 PWK 的 Labs，其 30 天的 Lab 使用权搭配一次的考试，价格为 999 美元；60 天 Lab 使用搭配一次考试 则是 1199 元；90天的 Lab 搭配一次考试为 1349 元。