30天CTF入门:Web+Misc速成计划
30 天网络安全入门学习计划(Web+Misc 方向,适配 CTF 刷题)
适配零基础入门,全程围绕 Burp Suite 实操 + CTF 基础刷题,聚焦 Web 安全(核心)+ 杂项(Misc)入门,使用平台为CTFHub(主打)+Bugku CTF(辅)+ 攻防世界(进阶),每天任务控制在1.5-2 小时,分基础打牢(1-10 天)、漏洞进阶 + Misc 入门(11-20 天)、综合刷题 + 能力提升(21-30 天) 三个阶段,核心任务必做、拓展任务可选,贴合学生党时间安排。
通用要求
- 全程用Burp Suite作为核心工具,每道题尽量用 Burp 抓包 / 分析,熟练工具基础操作;
- 遇到不会的题先独立思考 30 分钟,再看平台Writeup(题解),并整理错题和知识点;
- 所有操作均在合规平台进行,不擅自对第三方网站测试。
第一阶段:基础打牢(1-10 天)——Burp 实操 + Web 基础 + CTFHub 入门
核心目标:熟练 Burp 基础操作、掌握 HTTP 协议核心知识点、完成 CTFHub Web 前置技能入门,能独立解基础抓包题。
| 天数 | 核心任务(必做,1.5h) | 拓展任务(可选,0.5h) | 重点掌握 |
|---|---|---|---|
| 1 | 1. Burp 重新配置 + 抓包实操(代理设置、拦截 / 放行 / 丢弃、重放器使用)2. CTFHub「技能树 - Web-HTTP 协议」完成第 1 题(HTTP 请求方法) | 浏览器代理设置反复练习 3 次,确保无卡顿 | 127.0.0.1:8080 代理原理、Burp 重放器基本使用、GET 请求格式 |
| 2 | 1. Burp 中查看数据包的请求头 / 响应头 / 状态码(200/404/302)2. CTFHub HTTP 协议完成 2-3 题(基础状态码 / 请求头) | 整理常见 HTTP 状态码含义(手写 10 个核心) | HTTP 常见状态码、User-Agent/Referer 请求头作用 |
| 3 | 1. Burp编码器使用(URL 编码 / Base64 编码)2. CTFHub HTTP 协议完成 4-5 题(编码相关) | 用 Burp 手动对任意字符串做 URL/Base64 编解码 | URL 编码(特殊字符 % 转义)、Base64 基础编码规则 |
| 4 | 1. 学习HTTP 请求方法(GET/POST 核心区别)2. Burp 抓包修改请求方法,观察服务器响应3. CTFHub 完成 POST 请求专项题 | 用 Burp 将 GET 请求改为 POST 请求,分析差异 | GET(参数在 URL)、POST(参数在请求体)、Burp 修改请求体 |
| 5 | 1. 学习Cookie/Session基础概念2. Burp 抓包查看并修改 Cookie,完成 CTFHub Cookie 专项题 | 清除浏览器 Cookie 后,用 Burp 手动添加 Cookie 访问目标 | Cookie 的作用、Burp 修改 Cookie 的实操步骤 |
| 6 | 1. CTFHub「Web 前置技能」全部完成(共 10 题左右)2. 整理该模块所有错题,标注知识点漏洞 | 重新做 1 道最易错题,确保完全理解 | Web 前置技能全知识点、错题复盘方法 |
| 7 | 1. 学习SQL 注入入门(单引号闭合 / 万能密码)2. CTFHub「SQL 注入 - 基础注入」完成第 1 题 | 记住万能密码(admin' or 1=1#)的原理 | SQL 注入基础原理、单引号闭合的作用 |
| 8 | 1. Burp 抓包辅助解 SQL 注入题,修改参数测试2. CTFHub 基础注入完成 2-3 题 | 整理 SQL 注入的 3 个基础测试步骤 | Burp 抓包修改 URL 参数、SQL 注入基础测试思路 |
| 9 | 1. 学习XSS 跨站脚本入门(反射型 XSS)2. CTFHub「XSS - 基础反射型」完成 1-2 题 | 用 Burp 构造简单 XSS 语句(<script>alert(1)</script>) | 反射型 XSS 原理、基础 XSS 语句构造 |
| 10 | 第一阶段复盘1. 整理前 9 天知识点(手写 / 电子文档,按 Burp/HTTP/SQL/XSS 分类)2. 重做 CTFHub Web 前置技能 + 基础注入 + XSS 各 2 道错题3. 完成 CTFHub 该模块阶段小测 | 画一张「Burp 抓包到解题」的流程思维导图 | 前 10 天所有核心知识点、知识点体系化整理 |
第二阶段:漏洞进阶 + Misc 入门(11-20 天)——Web 基础漏洞深化 + 杂项古典密码 / 流量分析 + Bugku 刷题
核心目标:掌握 3 个 Web 核心漏洞(SQL 注入 / 反射型 XSS / 文件包含)、入门 Misc 古典密码 + 流量分析、能独立解 Bugku 新手区 Web/Misc 题,Burp 工具使用更熟练。
| 天数 | 核心任务(必做,1.5h) | 拓展任务(可选,0.5h) | 重点掌握 |
|---|---|---|---|
| 11 | 1. 学习SQL 注入联合查询基础2. CTFHub SQL 注入完成 4-6 题3. Burp 抓包批量测试注入参数 | 用 Burp 尝试简单的参数遍历 | SQL 联合查询(union select)基础、Burp 批量测试参数 |
| 12 | 1. 学习文件包含入门(本地文件包含 LFI)2. CTFHub「文件包含 - 基础 LFI」完成 1-3 题 | 了解常见敏感文件路径(/etc/passwd/) | 本地文件包含原理、常见敏感文件路径 |
| 13 | 1. 反射型 XSS 进阶(Burp 构造绕过简单过滤的 XSS 语句)2. CTFHub XSS 完成 3-5 题 | 收集 3 个简单的 XSS 绕过语句 | XSS 简单过滤绕过、Burp 构造自定义请求体 |
| 14 | 1. 切换到Bugku CTF - 新手区,完成 Web 类题目 1-3 题2. 全程用 Burp 抓包分析,不依赖题解 | 总结 Bugku 与 CTFHub 的题目差异 | 不同平台题目风格、实战化抓包分析思路 |
| 15 | Misc 杂项入门 - 古典密码1. 学习凯撒密码 / 栅栏密码 / Base64 编码(基础)2. Bugku 新手区 Misc 完成 1-2 题(古典密码题) | 用记事本手动解 1 道凯撒密码题 | 凯撒密码(位移解密)、栅栏密码(分组解密)、Base64 解码 |
| 16 | 1. 学习Burp 分析流量包基础(导入 pcap 文件)2. CTFHub「Misc - 流量分析」完成第 1 题3. Bugku Misc 完成流量分析入门题 1 道 | 了解 pcap 文件是什么,如何获取 | 流量包(pcap)基础、Burp 导入流量包分析、找关键请求 |
| 17 | 1. Web 漏洞综合练习:CTFHub 随机选 3 道 Web 题(跨知识点)2. 限时 20 分钟 / 题,锻炼解题速度 | 遇到不会的题,标注对应的知识点漏洞 | 跨知识点解题思路、限时解题能力 |
| 18 | 1. Bugku 新手区完成 Web 类 4-6 题 + Misc 类 3-4 题2. 整理该阶段 Web/Misc 错题,标注未掌握知识点 | 针对未掌握知识点,看 1 篇基础教程 | Bugku 题目解题技巧、Misc 古典密码解题总结 |
| 19 | 1. 学习HTTP 重定向(302 状态码)+Burp 修改重定向地址2. CTFHub/ Bugku 找 1 道重定向相关题完成 | 用 Burp 拦截 302 请求,修改 Location 响应头 | 302 重定向原理、Burp 修改响应头 |
| 20 | 第二阶段复盘1. 整理 Web 漏洞(SQL/XSS/ 文件包含)核心知识点 + 解题步骤2. 整理 Misc 古典密码 / 流量分析基础知识点3. 重做 Bugku 新手区 Web/Misc 各 2 道错题 | 制作「Web 基础漏洞解题模板」(按步骤写) | Web3 大核心漏洞解题思路、Misc 入门知识点体系 |
第三阶段:综合刷题 + 能力提升(21-30 天)—— 攻防世界入门 + CTFshow 刷题 + 综合实战 + 知识点查漏补缺
核心目标:接触大赛真题风格题目、提升综合解题能力、能独立解攻防世界新手区题目、形成自己的解题思路,为后续 CTF 比赛做准备。
| 天数 | 核心任务(必做,1.5h) | 拓展任务(可选,0.5h) | 重点掌握 |
|---|---|---|---|
| 21 | 1. 注册攻防世界,进入「新手练习场 - Web」2. 完成攻防世界 Web 新手题 1-3 题,全程 Burp 实操 | 了解攻防世界的题目评分和 Writeup 规则 | 大赛真题风格 Web 题、攻防世界解题思路 |
| 22 | 1. 攻防世界 Web 新手题完成 4-6 题2. 遇到过滤严格的题目,用 Burp 尝试多种 payload 测试 | 收集 Web 漏洞的基础 payload(如 SQL/XSS) | 多 payload 测试思路、Burp 构造自定义 payload |
| 23 | 1. 切换到CTFshow - 新手区,完成 Web 入门题 1-4 题2. 总结 CTFshow 的题目特点(更贴近实战) | 对比 CTFHub / 攻防世界 / CTFshow 的平台差异 | CTFshow 实战化题目风格、Web 漏洞实战应用 |
| 24 | Misc 杂项提升1. 学习摩尔斯电码 / 进制转换(10/16/2 进制)2. 攻防世界「新手练习场 - Misc」完成 1-3 题 | 用计算器手动练习进制转换(10 转 16/2) | 摩尔斯电码解密、进制转换、Misc 综合解题 |
| 25 | 1. 攻防世界 Web+Misc 新手题各完成 2 道,限时 30 分钟 / 题2. 锻炼快速读题、抓包、找漏洞的能力 | 做完后看高分题解,学习更优解题方法 | 限时解题能力、借鉴高分题解的思路 |
| 26 | 1. CTFshow 新手区 Web 题完成 5-8 题,重点练文件包含 / SSRF(入门)2. 用 Burp 分析 SSRF 的请求包特征 | 了解 SSRF 基础概念(服务器端请求伪造) | SSRF 入门原理、文件包含进阶解题 |
| 27 | 1. 综合刷题:从 CTFHub/Bugku/ 攻防世界各随机选 1 道 Web+1 道 Misc 题,完成4 道综合题2. 不看题解,独立完成 | 遇到卡壳的题,记录卡点,后续针对性补 | 跨平台综合解题能力、独立分析问题能力 |
| 28 | 知识点查漏补缺1. 回顾前 27 天的错题本,找出高频未掌握知识点(如某类密码 / 漏洞)2. 针对卡点,找 1-2 篇基础教程 + 2 道对应题目练习 | 制作「个人知识点漏洞清单」,标注后续重点学的内容 | 针对性查漏补缺、梳理个人知识盲区 |
| 29 | 1. 攻防世界「新手练习场」完成阶段闯关(Web+Misc)2. 争取拿到攻防世界新手区「通关徽章」 | 尝试做 1 道攻防世界的「简单难度」题 | 攻防世界闯关技巧、从新手到简单难度的过渡 |
| 30 | 30 天总复盘 + 后续规划1. 整理 30 天所有核心知识点(按 Web/Misc/Burp 工具分类,形成完整笔记)2. 重做 30 天内10 道经典错题(覆盖各阶段核心知识点)3. 制定后续进阶方向(如 Web 漏洞深化 / Misc 流量分析进阶) | 写一篇 30 天学习总结,记录收获和问题 | 30 天知识体系化、明确后续学习方向 |
配套资源(全程可用)
- 题解参考:各平台内置 Writeup、ZEEKLOG / 掘金的 CTF 入门题解、FreeBuf 的基础漏洞教程;
- 工具辅助:Burp Suite(核心)、记事本 / OneNote(记笔记 / 错题)、在线密码解密工具(辅助验证 Misc 答案);
- 知识点教程:PortSwigger Web Security Academy(Burp 官方教程,Web 安全)、CTFHub 官方入门教程、攻防世界新手引导。
关键提醒
2. 在线闯关平台
三、进阶实战平台(适合提升综合能力)
1. 国际知名靶场
2. 漏洞复现靶场
四、综合学习社区与资源平台
1. 国内优质社区
2. 国际学习平台
五、推荐使用路径(按学习阶段)
- 实操为王:网络安全入门靠练,不要只看教程不做题,Burp 工具每天都要碰,熟能生巧;
- 错题本是核心:每道错题都要标注「错因 + 知识点 + 正确解法」,后续复习重点看错题;
- DVWA(Damn Vulnerable Web Application)
- 网址:https://dvwa.co.uk/(开源,可本地部署)
- 特点:模拟 SQL 注入、XSS、文件包含等常见 Web 漏洞,难度分低 / 中 / 高 / 不可能四档,适合理解漏洞原理。
- bWAPP
- 网址:https://sourceforge.net/projects/bwapp/
- 特点:集成 100 + 种 Web 漏洞,支持自定义漏洞难度,适合系统学习 Web 安全基础。
- HackingLab
- 网址:http://hackinglab.cn
- 特点:关卡式设计(基础关、脚本关、注入关、上传关等),完全模拟真实漏洞场景,适合零基础入门。
- Hack This Site
- 网址:https://www.hackthissite.org
- 特点:国际知名的入门级靶场,分新手、基础、中级等多个难度等级,注重实操能力培养。
- Hack The Box
- 网址:https://www.hackthebox.com
- 特点:实时更新的靶机环境,模拟真实企业网络,需要通过渗透测试获取 flag,适合提升实战渗透能力。
- TryHackMe
- 网址:https://tryhackme.com
- 特点:提供从入门到专家的完整学习路径,包含视频教程 + 实操靶机,适合系统化学习网络安全。
- Vulhub
- 网址:https://vulhub.org
- 特点:基于 Docker 的开源漏洞靶场,通过简单命令即可搭建各种漏洞环境,专注 CVE 漏洞复现,适合研究漏洞原理。
- VulnStack
- 网址:https://vulnstack.cn
- 特点:红队实战靶场,模拟域环境、横向渗透、多层网络架构,适合提升企业级渗透测试能力。
- FreeBuf
- 网址:https://www.freebuf.com
- 特点:网络安全领域权威媒体,提供新闻、漏洞分析、技术教程、工具分享等内容,适合拓宽知识面。
- i 春秋
- 网址:https://www.ichunqiu.com
- 特点:集在线课程、CTF 竞赛、漏洞靶场于一体,有专门的高校合作计划,适合系统学习。
- 墨者学院
- 网址:https://www.mozhe.cn
- 特点:提供从基础漏洞到高级渗透的实战靶场,注重理论与实操结合,适合想系统提升技能的学习者。
- Root-Me
- 网址:https://www.root-me.org
- 特点:200 + 在线挑战 + 50 多种虚拟环境,覆盖 Web、Pwn、取证、密码学等领域,适合国际化学习。
- PortSwigger Web Security Academy
- 网址:https://portswigger.net/web-security
- 特点:Burp Suite 官方学习平台,提供免费的 Web 安全课程和靶场,与 Burp 工具配合使用效果最佳。
- 零基础入门:先从 CTFHub→Bugku CTF→HackingLab 开始,熟悉 CTF 基本流程和 Web 安全基础漏洞。
- 基础巩固:转向 DVWA 本地部署 + 攻防世界新手区,深入理解漏洞原理,掌握基础工具使用(如 Burp Suite)。
- 进阶提升:挑战 BUUCTF→CTFshow→Hack The Box,接触大赛真题和真实渗透场景,提升实战能力。
- 专项突破:根据兴趣选择 Crypto(CryptoHack)、逆向(Reversing.kr)等方向的专业平台进行专项训练
循序渐进:不要急于做难题,基础打牢后,难题会自然迎刃而解,入门阶段拒绝碰 PWN / 逆向等高难度方向。以下是按CTF 练习平台、漏洞靶场、学习社区分类的主流网络安全资源网站,覆盖从新手入门到高手进阶的全阶段需求,适合计算机专业学生和 CTF 爱好者学习使用。
一、核心 CTF 练习平台(与 CTFHub 功能最相似)
| 网站名称 | 网址 | 核心特点 | 适合人群 |
|---|---|---|---|
| 攻防世界 | https://adworld.xctf.org.cn | 1. XCTF 官方平台,收录国内外大赛真题2. 题目覆盖 Web、Pwn、Crypto、Misc 等全类型3. 提供新手区→进阶区→高手区的梯度训练 | 全阶段,尤其适合想接触大赛真题的学习者 |
| BUUCTF | https://buuoj.cn | 1. 北京联合大学打造,收录大量 CTF 大赛原题2. 分基础、Crypto、Misc 等多个模块3. 社区活跃,Writeup 资源丰富 | 进阶学习者,适合刷题巩固知识点 |
| Bugku CTF | https://ctf.bugku.com | 1. 界面简洁,题目难度适中2. 包含 CTF 题目和实时竞赛3. 有专门的新手入门题目 | 零基础入门,适合初次接触 CTF 的学生 |
| CTFshow | https://ctf.show | 1. 专注 Web 安全题目,更新频率高2. 提供免费靶场和付费进阶内容3. 配套详细的解题思路和视频教程 | Web 安全方向学习者,适合专项突破 |
| 狼组 CTF 平台 | https://ctf.wgpsec.org | 1. 场景化闯关模式(如银行系统渗透)2. 融合 CTF 与真实渗透测试场景3. 提供漏洞复现环境 | 想提升实战能力的进阶学习者 |